美国国家安全局(NSA)和英国国家网络安全中心(NCSC)去年向微软报告了Windows CryptoAPI的一个高严重性安全缺陷,该缺陷现已被修复,其概念证明(Poc)代码已经发布。
作为CVE-2022-34689(CVSS评分:7.5),该欺骗漏洞被科技巨头作为2022年8月发布的 "补丁星期二 "更新的一部分加以解决,但两个月后的2022年10月11日才被公开披露。
攻击者可以操纵现有的公共x.509证书来欺骗他们的身份,并作为目标证书执行认证或代码签名等操作。
Windows CryptoAPI为开发者提供了一个接口,可以在他们的应用程序中添加加密服务,如数据的加密/解密和使用数字证书的认证。
CVE-2022-34689的根源在于,被设计用来接受x.509证书的脆弱代码片断进行的检查完全依赖于证书的MD5指纹。
MD5是一种用于散列的消息摘要算法,由于生日攻击的风险,截至2008年12月,该算法基本上已被加密破解,这是一种用于寻找散列函数中的碰撞的加密分析方法。
这一缺陷的净影响是,它为不良行为者打开了大门,使其能够向受害者应用程序提供一个合法证书的修改版本,然后创建一个新的证书,其MD5哈希值与被操纵的证书相碰撞,并使用它来伪装成原始实体。
换句话说,这个缺陷可以被用来中间人攻击(MitM),并将依赖旧版谷歌浏览器(48版和更早的版本)的用户重定向到该行为者选择的任意网站,只因为易受影响的网络浏览器版本信任恶意证书。
证书在在线身份验证中发挥着重要作用,这使得这一漏洞对攻击者来说有利可图。
仍有很多代码使用这个API,可能会暴露在这个漏洞之下,即使是已停产的Windows版本,如Windows 7,也需要打补丁"。