باگ CryptoAPI 99 درصد از سرورهای ویندوز را آسیب پذیر می کند

WTF؟! Akamai یک تهدید امنیتی جدید برای سرورهای مبتنی بر ویندوز و ماشین‌های مرکز داده بر اساس باگ خطرناکی که مایکروسافت ماه‌ها پیش برطرف کرده بود، رونمایی کرد. با این حال، به نظر می رسد تقریباً هیچ کس زحمت نصب پچ بسیار مورد نیاز را نداشته است.

بر اساس بولتن امنیتی ردموند، CVE-2022-34689 می تواند برای جعل هویت واقعی مهاجم و انجام اقداماتی “مانند احراز هویت یا امضای کد به عنوان گواهی هدف” مورد سوء استفاده قرار گیرد.

اکنون Akamai کد اثبات مفهوم (PoC) را منتشر کرده است که نشان می دهد بهره برداری چگونه کار می کند، با استفاده از نسخه قدیمی مرورگر وب کروم (v48) که از CryptoAPI برای بررسی مشروعیت گواهی استفاده می کند. محققان Akamai با حمله Man-in-the-Middle توانستند از یک گواهی مخرب برای شکستن امنیت HTTPS استفاده کنند.

همانطور که توسط Akamai توضیح داده شد، اصل موضوع این است که CryptoAPI این فرض را ایجاد می کند که “کلید شاخص حافظه پنهان گواهی، که مبتنی بر MD5 است، بدون برخورد است.” مدت‌هاست که MD5 به دلیل آسیب‌پذیری در برابر مشکلات برخورد – دو تکه داده که اتفاقاً هش MD5 مشابهی دارند – شناخته شده است، اما نسخه‌های نرم‌افزار قدیمی با استفاده از CryptoAPI هنوز در برابر این نقص آسیب‌پذیر هستند.

به گفته این شرکت امنیتی، “کمتر از 1٪ از دستگاه های قابل مشاهده” در مراکز داده محافظت می شوند، به این معنی که 99٪ از سرورهای مبتنی بر ویندوز که در اینترنت قابل مشاهده هستند در حال حاضر آسیب پذیر هستند.

بخونید:  آیفون 15 اپل وارد مرحله تولید آزمایشی شد



منبع

Akamai گفت که علاوه بر کروم 48، بسیاری از اهداف آسیب‌پذیر دیگر «در طبیعت» وجود دارند که هنوز از ویژگی ناقص CryptoAPI استفاده می‌کنند. با این حال، بدترین چیز در مورد CVE-2022-34689 این است که اکثریت قریب به اتفاق مدیران سیستم و کاربران حرفه ای به نصب وصله ای که شش ماه است در دسترس بوده اهمیتی نمی دهند.

CVE-2022-34689 می تواند توسط مجرمان سایبری برای امضای دیجیتالی فایل های اجرایی مخرب مورد سوء استفاده قرار گیرد و آنها را به گونه ای نشان دهد که از منابع مطمئن و مطمئن آمده اند یا برای ایجاد یک گواهی TLS که به نظر می رسد متعلق به سازمان دیگری (مشروع) است و فریب برنامه (به عنوان مثال یک مرورگر وب) به گواهی مخرب مذکور اعتماد کنید. این اشکال به عنوان «بحرانی» طبقه‌بندی شد و امتیاز شدت CVSS 7.5 از 10 به آن داده شد، با مایکروسافت گفت که بهره‌برداری «به احتمال زیاد» است، اگرچه این اشکال نمی‌تواند برای اجرای کد از راه دور استفاده شود.

هنگامی که صحبت از اشکالات رمزنگاری خطرناک در ویندوز می شود، CryptoAPI هدیه ای است که همچنان ارائه می شود. این رابط می تواند توسط برنامه های Win32 برای مدیریت اقدامات امنیتی و رمزنگاری مانند اعتبار سنجی گواهی ها یا تأیید هویت استفاده شود. اما CryptoAPI همچنین می‌تواند نقص‌های امنیتی بالقوه حیاتی را به پلتفرم ویندوز فوق‌الذکر وارد کند و جعل هویت و گواهی را آسان‌تر کند.

به گفته تحلیلگران امنیتی Akamai، این دقیقا همان چیزی است که در مورد آسیب پذیری موسوم به CVE-2022-34689 اتفاق افتاد. «آسیب‌پذیری جعلی CryptoAPI Windows» که توسط NSA ایالات متحده و مرکز امنیت سایبری ملی بریتانیا (NCSC) فاش شد، در آگوست 2022 توسط مایکروسافت اصلاح شد، اما تنها در اکتبر 2022 به طور عمومی اعلام شد.

بخونید:  سیستم نوری جدید فوجیتسو می تواند داده ها را با سرعت 1.2 ترابیت بر ثانیه در هر موج ارسال کند