WTF؟! Akamai یک تهدید امنیتی جدید برای سرورهای مبتنی بر ویندوز و ماشینهای مرکز داده بر اساس باگ خطرناکی که مایکروسافت ماهها پیش برطرف کرده بود، رونمایی کرد. با این حال، به نظر می رسد تقریباً هیچ کس زحمت نصب پچ بسیار مورد نیاز را نداشته است.
به گفته تحلیلگران امنیتی Akamai، این دقیقا همان چیزی است که در مورد آسیب پذیری موسوم به CVE-2022-34689 اتفاق افتاد. «آسیبپذیری جعلی CryptoAPI Windows» که توسط NSA ایالات متحده و مرکز امنیت سایبری ملی بریتانیا (NCSC) فاش شد، در آگوست 2022 توسط مایکروسافت اصلاح شد، اما تنها در اکتبر 2022 به طور عمومی اعلام شد.
به گفته این شرکت امنیتی، “کمتر از 1٪ از دستگاه های قابل مشاهده” در مراکز داده محافظت می شوند، به این معنی که 99٪ از سرورهای مبتنی بر ویندوز که در اینترنت قابل مشاهده هستند در حال حاضر آسیب پذیر هستند.
همانطور که توسط Akamai توضیح داده شد، اصل موضوع این است که CryptoAPI این فرض را ایجاد می کند که “کلید شاخص حافظه پنهان گواهی، که مبتنی بر MD5 است، بدون برخورد است.” مدتهاست که MD5 به دلیل آسیبپذیری در برابر مشکلات برخورد – دو تکه داده که اتفاقاً هش MD5 مشابهی دارند – شناخته شده است، اما نسخههای نرمافزار قدیمی با استفاده از CryptoAPI هنوز در برابر این نقص آسیبپذیر هستند.
بر اساس بولتن امنیتی ردموند، CVE-2022-34689 می تواند برای جعل هویت واقعی مهاجم و انجام اقداماتی “مانند احراز هویت یا امضای کد به عنوان گواهی هدف” مورد سوء استفاده قرار گیرد.
اکنون Akamai کد اثبات مفهوم (PoC) را منتشر کرده است که نشان می دهد بهره برداری چگونه کار می کند، با استفاده از نسخه قدیمی مرورگر وب کروم (v48) که از CryptoAPI برای بررسی مشروعیت گواهی استفاده می کند. محققان Akamai با حمله Man-in-the-Middle توانستند از یک گواهی مخرب برای شکستن امنیت HTTPS استفاده کنند.
Akamai گفت که علاوه بر کروم 48، بسیاری از اهداف آسیبپذیر دیگر «در طبیعت» وجود دارند که هنوز از ویژگی ناقص CryptoAPI استفاده میکنند. با این حال، بدترین چیز در مورد CVE-2022-34689 این است که اکثریت قریب به اتفاق مدیران سیستم و کاربران حرفه ای به نصب وصله ای که شش ماه است در دسترس بوده اهمیتی نمی دهند.
CVE-2022-34689 می تواند توسط مجرمان سایبری برای امضای دیجیتالی فایل های اجرایی مخرب مورد سوء استفاده قرار گیرد و آنها را به گونه ای نشان دهد که از منابع مطمئن و مطمئن آمده اند یا برای ایجاد یک گواهی TLS که به نظر می رسد متعلق به سازمان دیگری (مشروع) است و فریب برنامه (به عنوان مثال یک مرورگر وب) به گواهی مخرب مذکور اعتماد کنید. این اشکال به عنوان «بحرانی» طبقهبندی شد و امتیاز شدت CVSS 7.5 از 10 به آن داده شد، با مایکروسافت گفت که بهرهبرداری «به احتمال زیاد» است، اگرچه این اشکال نمیتواند برای اجرای کد از راه دور استفاده شود.
هنگامی که صحبت از اشکالات رمزنگاری خطرناک در ویندوز می شود، CryptoAPI هدیه ای است که همچنان ارائه می شود. این رابط می تواند توسط برنامه های Win32 برای مدیریت اقدامات امنیتی و رمزنگاری مانند اعتبار سنجی گواهی ها یا تأیید هویت استفاده شود. اما CryptoAPI همچنین میتواند نقصهای امنیتی بالقوه حیاتی را به پلتفرم ویندوز فوقالذکر وارد کند و جعل هویت و گواهی را آسانتر کند.
