Новости Создан эксплойт, позволяющий подделать сертификат и захватить легитимный сайт

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022

Жертва не заметит подмены, а злоумышленник соберёт все конфиденциальные данные.​


saur27rs8v8cycit1wvzf0h3xcbwwdy5.jpg


Исследователи Akamai разработали экспериментальный эксплойт ( Для просмотра ссылки Войди или Зарегистрируйся ) для общедоступной уязвимости подделки сертификата x.509 в Windows CryptoAPI, которая была раскрыта в прошлом году.

Microsoft незаметно исправила ошибку Для просмотра ссылки Войди или Зарегистрируйся в августе 2022 года, но публично раскрыла ее только в октябре. Исследователи из Akamai на этой неделе опубликовали Для просмотра ссылки Войди или Зарегистрируйся , который позволяет злоумышленнику подделать целевой сертификат и замаскироваться под любой сайт. При этом уязвимый браузер будет отображать зеленый значок замка, указывающий на безопасное соединение, даже если соединение полностью контролируется хакером.

CryptoAPI — это интерфейс программирования приложений Windows, который разработчики используют для обеспечения криптографии в своих приложениях. Одна из ролей CryptoAPI — проверка подлинности цифровых сертификатов. И именно в этой функции существует уязвимость, как сказали исследователи.

Чтобы проверить подлинность сертификата, CryptoAPI сначала проверяет, существует ли он уже в кэше сертификатов принимающего приложения. Если это так, CryptoAPI рассматривает полученный сертификат как проверенный. До исправления уязвимости CryptoAPI проверял наличие сертификата в кэше, просто сравнивая отпечатки хэшей MD5. Если отпечаток MD5 полученного сертификата совпадал с отпечатком MD5 сертификата в кэше, CryptoAPI считал полученный сертификат проверенным, даже если фактическое содержимое двух сертификатов точно не совпадало. Это открывает двери для кибератак, чтобы ввести сертификат злоумышленника.

Эксперты Akamai сначала создали 2 сертификата — один с легитимной подписью, а другой вредоносный — и подстроили их так, чтобы они оба имели одинаковые отпечатки MD5. Затем они подложили настоящий сертификат CryptoAPI (в данном случае это старая версия Chrome — v48). После того как приложение проверило сертификат и сохранило его в кэше конечного сертификата, Akamai показала, как киберпреступник может использовать Для просмотра ссылки Войди или Зарегистрируйся -атаку, чтобы передать второй вредоносный сертификат тому же приложению и проверить его подлинность.

По словам специалистов, как только отпечаток MD5 будет рассчитан, атака может быть легко проведена. То, как злоумышленник выполняет следующие две фазы атаки (обслуживание двух сертификатов), зависит от типа целевого приложения – в браузерах простой сброс соединения после первой фазы завершается, браузер немедленно пытается переподключиться. В этот момент атака переходит на вторую фазу.
 
Источник новости
www.securitylab.ru

Похожие темы