Der neu veröffentlichte PoC-Code kann eine Schwachstelle ausnutzen, die bereits im August gepatcht wurde
Akamai hat eine neue Sicherheitsbedrohung für Windows-basierte Server und Rechenzentren aufgedeckt, die auf einem gefährlichen Fehler basiert, den Microsoft vor Monaten behoben hat. Allerdings scheint sich kaum jemand die Mühe gemacht zu haben, das dringend benötigte Patch zu installieren.
Wenn es um gefährliche kryptografische Bugs in Windows geht, ist CryptoAPI das Geschenk, das immer wieder auftaucht. Die Schnittstelle kann von Win32-Programmen verwendet werden, um Sicherheits- und Kryptografieverfahren zu verwalten, wie z. B. die Validierung von Zertifikaten oder die Überprüfung von Identitäten. Aber CryptoAPI kann auch potenziell kritische Sicherheitslücken in die erwähnte Windows-Plattform einbringen und Identitäts- und Zertifikatsspoofing erleichtern.
Laut den Analysten von Akamai Security ist genau das mit der Sicherheitslücke CVE-2022-34689 passiert. Die von der US-amerikanischen NSA und dem britischen National Cyber Security Center (NCSC) aufgedeckte „Windows CryptoAPI Spoofing Vulnerability“ wurde von Microsoft im August 2022 gepatcht, aber erst im Oktober 2022 öffentlich bekannt gegeben.
Laut dem Sicherheitsbulletin der Redmonder kann CVE-2022-34689 ausgenutzt werden, um die wahre Identität eines Angreifers vorzutäuschen und Aktionen wie Authentifizierung oder Codesignierung als das angestrebte Zertifikat durchzuführen.“
Wie Akamai erklärt, besteht das Problem darin, dass CryptoAPI davon ausgeht, dass der MD5-basierte Indexschlüssel für den Zertifikats-Cache kollisionsfrei ist. MD5 ist seit langem dafür bekannt, dass es anfällig für Kollisionen ist – zwei Datenpakete, die zufällig denselben MD5-Hash haben -, aber alte Softwareversionen, die CryptoAPI verwenden, sind immer noch anfällig für diesen Fehler.
CVE-2022-34689 kann von Cyberkriminellen ausgenutzt werden, um bösartige ausführbare Dateien digital zu signieren und sie so aussehen zu lassen, als kämen sie aus vertrauenswürdigen und sicheren Quellen, oder um ein TLS-Zertifikat zu erstellen, das scheinbar einer anderen (legitimen) Organisation gehört, und eine Anwendung (z. B. einen Webbrowser) dazu zu bringen, dem bösartigen Zertifikat zu vertrauen. Der Fehler wurde als „kritisch“ eingestuft und mit einem CVSS-Schweregrad von 7,5 von 10 bewertet. Microsoft erklärte, dass eine Ausnutzung des Fehlers „höchstwahrscheinlich“ sei, auch wenn der Fehler nicht zur Ausführung von Remote-Code verwendet werden könne.
Jetzt hat Akamai einen Proof-of-Concept (PoC)-Code veröffentlicht, der zeigt, wie der Angriff funktioniert. Dabei wird eine alte Version des Chrome-Webbrowsers (v48) verwendet, die CryptoAPI zur Überprüfung der Legitimität von Zertifikaten einsetzt. Mit einem Man-in-the-Middle-Angriff gelang es den Akamai-Forschern, ein bösartiges Zertifikat zu verwenden, um die HTTPS-Sicherheit zu umgehen.
Akamai sagte, dass es neben Chrome 48 noch viele andere verwundbare Ziele „in the wild“ gibt, die immer noch die fehlerhafte CryptoAPI-Funktion verwenden. Das Schlimmste an CVE-2022-34689 ist jedoch, dass die überwältigende Mehrheit der Systemadministratoren und professionellen Nutzer sich nicht darum kümmerte, einen Patch zu installieren, der bereits seit sechs Monaten verfügbar ist.
Nach Angaben des Sicherheitsunternehmens sind „weniger als 1 % der sichtbaren Geräte“ in Rechenzentren geschützt, was bedeutet, dass 99 % der für das Internet sichtbaren Windows-basierten Server derzeit anfällig sind.
