Podle výzkumníků společnosti Akamai je většina systémů a aplikací datových center s operačním systémem Windows zranitelná vůči chybě v rozhraní CryptoAPI. Ta byla odhalena americkou Národní bezpečnostní agenturou (NSA) a britským Národním centrem kybernetické bezpečnosti (NCSC) a Microsoft ji loni opravil záplatou.
Zranitelnost (CVE-2022-34689) mohou útočníci zneužít k digitálnímu podpisu škodlivých spustitelných souborů způsobem, který systém Windows a aplikace přesvědčí, že pocházejí z důvěryhodných, legitimních zdrojů a je možné je otevřít nebo nainstalovat.
Chyba v CryptoAPI
CryptoAPI pomáhá vývojářům zabezpečit aplikace pro Windows pomocí kryptografie a rozhraní API lze použít například k ověřování certifikátů a identit. Útočník tak může vytvořit TLS certifikát a oklamat aplikaci, která používá k analýze certifikátu rozhraní CryptoAPI, aby tomuto certifikátu důvěřovala.
Zásadní je skutečnost, že Microsoft tuto zranitelnost v tichosti opravil v srpnu 2022. Ačkoli byla označena jako kritická, získala skóre závažnosti CVSS pouhých 7,5 z 10 možných. Později, když Redmond chybu v říjnu zveřejnil, uvedl, že bezpečnostní díra nebyla zneužita a není veřejně známá, ale považuje její zneužití „za pravděpodobné“.
Nyní Akamai zveřejnil ukázkový kód, který demonstruje zneužití, čímž se obavy Microsoftu přiblížily realitě. Ukázka využívá starou verzi prohlížeče Chrome v systému Windows, která ke kontrole certifikátů používala rozhraní CryptoAPI, a pomocí útoku man-in-the-middle způsobí, že si prohlížeč myslí, že komunikuje s legitimním webovým serverem, ačkoli ve skutečnosti jde o podvrh.
Bezpečnostní experti také zjistili, že naprostá většina veřejně přístupných serverů s operačním systémem Windows v datových centrech po celém světě, které zkoumala, nebyla opravena tak, aby díru odstranila. Podotýkáme, že aby bylo možné chybu zneužít v praxi, musí být na daném počítači spuštěna aplikace nebo služba využívající rozhraní CryptoAPI způsobem, který ji otevírá pro podvržení.
Celých 99 % bez záplaty
„Zjistili jsme, že v datových centrech je záplatováno méně než jedno procento viditelných zařízení, což znamená, že ostatní servery nejsou chráněny před zneužitím této zranitelnosti,“ konstatují odborníci na bezpečnost Tomer Peled a Yoni Rozenshein z firmy Akamai.
Na otázku, zda to znamená, že 99 % – tedy prakticky všechny – koncové body datových center se systémem Windows zůstávají zranitelné, Peled pro The Register upřesnil: „Ano, můžeme potvrdit, že z podskupiny koncových bodů, které jsme skenovali, jsme zjistili, že 99 % z nich nebylo opraveno srpnovou bezpečnostní záplatou. To ale neznamená, že koncový bod je zranitelný, protože pro zneužití této chyby musí existovat také zranitelná aplikace.“
Experti uvedli, že hledali zranitelné aplikace používající rozhraní CryptoAPI způsobem, který je náchylný k tomuto útoku. „Zatím jsme zjistili, že lze zneužít staré verze prohlížeče Chrome (v48 a starší) a aplikace založené na Chromiu,“ napsali. „Domníváme se, že zranitelných cílů je více a náš výzkum stále pokračuje.“