0
0
Os pesquisadores da Akamai publicaram uma exploração PoC para uma vulnerabilidade crítica (CVE-2022-34689) no Windows CryptoAPI, que valida certificados de chave pública.
“Um invasor pode manipular um certificado x.509 público existente para falsificar sua identidade e executar ações como autenticação ou assinatura de código como o certificado de destino”, disse a Microsoft em outubro de 2022, quando anunciou correções para versões vulneráveis do Windows e do Windows Server.
A vulnerabilidade foi realmente corrigida em agosto de 2022, mas sua existência só foi revelada dois meses depois, provavelmente para evitar alertar os invasores antes que as atualizações de segurança fossem amplamente implementadas.
Sobre CVE-2022-34689
“A causa raiz do bug é a suposição de que a chave de índice do cache do certificado, que é baseada em MD5, é livre de colisões. Desde 2009, sabe-se que a resistência à colisão do MD5 foi quebrada”, explicaram os pesquisadores Tomer Peled e Yoni Rozenshein .
“O fluxo de ataque é duplo. A primeira fase requer pegar um certificado legítimo, modificá-lo e entregar a versão modificada à vítima. A segunda fase envolve a criação de um novo certificado cujo MD5 colide com o certificado legítimo modificado e o uso do novo certificado para falsificar a identidade do assunto do certificado original.”
Mas há boas notícias: o CVE-2022-34689 não pode ser tão amplamente explorado quanto o CVE-2020-0601 (também chamado de “CurveBall”), uma vulnerabilidade semelhante de falsificação do Windows CryptoAPI que foi aproveitada por hackers patrocinados pelo estado chinês e esteve, ao mesmo tempo, entre as 10 vulnerabilidades mais exploradas de 2020 .
Exploração CVE-2022-34689
Para explorar CVE-2022-34689, o primeiro certificado, que é gerado de forma a facilitar um ataque de colisão de prefixo escolhido e é assinado e verificado corretamente, precisa ser armazenado em cache pelo CryptoAPI, para que o segundo certificado (com o mesmo MD5 impressão digital como a anterior) pode ser prontamente confiável porque a Microsoft não verifica novamente os certificados em cache.
“O mecanismo [CryptoAPI caching] está desabilitado por padrão. Para habilitá-lo, o desenvolvedor do aplicativo precisa passar determinados parâmetros para CertGetCertificateChain, a função da API do Windows que eventualmente leva ao código vulnerável”, explicaram os pesquisadores.
Eles encontraram alguns aplicativos que usam o CryptoAPI dessa maneira – versões antigas do Chrome (v48 e anteriores) e aplicativos baseados no Chromium – e acreditam que existam outros.
Felizmente, existem dois pré-requisitos para uma exploração bem-sucedida do CVE-2022-34689: a máquina deve executar o Windows e não ter o patch lançado pela Microsoft e deve executar um aplicativo que use o mecanismo de cache CryptoAPI.
Os pesquisadores aconselham os administradores a aplicar o patch de segurança mais recente lançado pela Microsoft em servidores e endpoints do Windows, e os desenvolvedores a mudar para o uso de outras WinAPIs para verificar a validade de um certificado antes de usá-lo.
Versões do Windows sem suporte, mas ainda usadas, também devem receber um patch, observaram eles, mas duvido que a Microsoft as libere devido ao atual escopo de exploração limitado.
FONTE: HELPNET SECURITY