Este exploit permite aprovechar una vulnerabilidad descubierta por la NSA en CryptoAPI de Windows
Los investigadores de Akamai han publicado un código de explotación de prueba de concepto (PoC) para una vulnerabilidad crítica de CryptoAPI de Windows descubierta por la NSA y el NCSC del Reino Unido. La vulnerabilidad permite la falsificación de certificados MD5.
Esta vulnerabilidad de seguridad, identificada como CVE-2022-34689, se solucionó con actualizaciones de seguridad lanzadas en agosto de 2022. No obstante, Microsoft la hizo pública hasta octubre, cuando se publicó el aviso por primera vez.
“Un atacante podría manipular un certificado x.509 público existente para falsificar su identidad y realizar acciones como autenticación o firma de código como el certificado de destino”.
Microsoft
CryptoAPI de Windows ofrece una interfaz para que los desarrolladores agreguen servicios criptográficos como cifrado/descifrado de datos y autenticación mediante certificados digitales a sus aplicaciones.
Los atacantes no autenticados pueden explotar esta vulnerabilidad (etiquetada por Microsoft como de gravedad crítica) en ataques de baja complejidad.
Recientemente, los investigadores de seguridad de la empresa de seguridad en la nube Akamai publicaron un exploit de prueba de concepto (PoC) y compartieron un OSQuery. El objetivo es ayudar a los defensores a detectar las versiones de la biblioteca CryptoAPI vulnerables a los ataques.
“Hemos buscado aplicaciones en el entorno que usan CryptoAPI de una manera que es vulnerable a este ataque de suplantación de identidad. Hasta ahora, encontramos que las versiones antiguas de Chrome (v48 y anteriores) y las aplicaciones basadas en Chromium pueden ser explotadas”.
“Creemos que hay objetivos más vulnerables en el entorno y nuestra investigación aún está en curso. Descubrimos que menos del 1% de los dispositivos visibles en los centros de datos están parcheados, lo que deja al resto desprotegido de la explotación de esta vulnerabilidad”.
Afirmaciones de los investigadores
Exploit
Al explotar esta vulnerabilidad, los atacantes pueden afectar la validación de la confianza para las conexiones HTTPS y el código ejecutable, los archivos o los correos electrónicos firmados.
Por ejemplo, los atacantes podrían aprovechar esta vulnerabilidad para firmar ejecutables maliciosos con un certificado de firma de código falsificado, dando la apariencia de que el archivo proviene de una fuente confiable.
Como resultado, los objetivos no tendrían indicios de que el archivo es realmente malicioso. Esto porque la firma digital parecería provenir de un proveedor confiable y de buena reputación.
Si un ataque que utiliza un exploit para CVE-2022-34689 tiene éxito, también podría proporcionar a los atacantes la capacidad de realizar ataques de intermediarios y descifrar información confidencial sobre las conexiones de los usuarios al software afectado. Por ejemplo, navegadores web que utilizan la Biblioteca de criptografía CryptoAPI de Windows.
“Todavía hay una gran cantidad de código que usa esta API y podría estar expuesto a esta vulnerabilidad, lo que justifica un parche incluso para versiones descontinuadas de Windows, como Windows 7. Te recomendamos que parchees tus servidores y puntos finales de Windows con el último parche de seguridad publicado por Microsoft”.
“Para los desarrolladores, otra opción para mitigar esta vulnerabilidad es usar otras WinAPI para verificar la validez de un certificado antes de usarlo, como CertVerifyCertificateChainPolicy. Ten en cuenta que las aplicaciones que no usan el almacenamiento en caché de certificados finales no son vulnerables”.
Akamai
La NSA informó sobre otra vulnerabilidad de falsificación de CryptoAPI Windows (CVE-2020-0601) hace dos años, con un alcance mucho más amplio y que afectaba a objetivos potencialmente más vulnerables.
El código de explotación PoC para la vulnerabilidad, ahora conocido como CurveBall, fue lanzado en 24 horas por el equipo suizo de ciberseguridad Kudelski Security y el investigador de seguridad Oliver Lyak.
En ese momento, la CISA ordenó a las agencias federales parchear todos los puntos finales afectados dentro de los diez días hábiles en su segunda Directiva de Emergencia.