Криптографический баг Windows продемонстрировали в симуляции атаки



    На следующий день после того, как Microsoft обнаружила одну из самых серьёзных уязвимостей за всю историю Windows и выпустила исправление для неё, исследователь Салим Рашид опубликовал в твиттере скриншот с рикроллом. На скриншоте видно, что содержимое сайтов GitHub и Агентства национальной безопасности США заменено на клип Never Gonna Give You Up Рика Эстли. Исследователь сделал это, чтобы продемонстрировать атаку с использованием найденной уязвимости.

    Уязвимость в криптографической библиотеке crypt32.dll в Windows, которую назвали CVE-2020-0601, заключается в том, что Windows CryptoAPI (Crypt32.dll) не полностью проверяет сертификаты ECC (криптографии эллиптической кривой). Как пишет ArsTechnica, уязвимые версии Windows проверяют три параметра ECC, пропуская при этом четвёртый, критический.

    «Такое поведение равносильно тому, как если бы сотрудник правоохранительных органов проверял чьи-либо документы и убедился, что они правильно описывают рост владельца, его адрес и день рождения, но не замечает, что в документе указан вес в 100 кг, хотя человек весит вдвое меньше», — объясняет ArsTechnica.

    Этот недостаток является результатом реализации Microsoft ECC, а не слабостью самих алгоритмов ECC. Злоумышленник может использовать эту уязвимость, чтобы подписать вредоносную программу так, чтобы система приняла файл за легитимный. Уязвимость распространяется на системы Windows 10, а также Windows Server 2016 и Windows Server 2019. Проблема была обнаружена специалистами Агентства национальной безопасности США, которые сообщили о ней Microsoft.

    Рашид сообщил в комментарии ArsTechnica, что его эксплойт состоит из 100 строк кода, но его можно сократить до 10 строк, если убрать «несколько полезных трюков». И хотя для использования атаки в реальных условиях существуют ограничения, симуляция показала, что уязвимость действительно серьёзная. С её помощью Рашиду удалось осуществить спуфинг сайтов Github и АНБ США в браузерах Edge и Chrome. А вот браузер Firefox, как отметил исследователь, отказался принимать поддельный сертификат.

    «Салим продемонстрировал, что с помощью скрипта вы можете создать сертификат для любого веб-сайта, используя только стандартные настройки для Windows, — заявил Кеннет Уайт, специалист по криптографии и руководитель отдела безопасности в MongoDB. — Это ужасно. Проблема затрагивает VPN-шлюзы, VoIP, то есть практически всё, что использует сетевые коммуникации».

    Подробное техническое описание проблемы Кеннет Уайт опубликовал в своём блоге. Также обсуждение уязвимости можно найти в твиттере и на Y Combinator. Кроме того, подобные исследования провела компания Kudelski Security, которая предоставила множество деталей атаки, включая код, который могут использовать другие.
    Как заявили в АНБ, «уязвимость ставит Windows под угрозу для широкого спектра атак».

    «АНБ оценивает уязвимость как критическую и опасается, что злоумышленники очень быстро поймут, в чём состоит уязвимость и что её использование сделает систему фундаментально уязвимой, а последствия её применения будут серьёзными и широко распространятся. Вероятно, злоумышленники смогут быстро найти инструменты для удалённой эксплуатации найденной ошибки. Своевременная установка патча — единственное известное решение в настоящее время, и оно должно быть в центре внимания всех владельцев сетей».

    Как пишет ArsTechnica, CVE-2020-0601, вероятно, не может представлять собой такую ​​же серьёзную угрозу, как CVE-2014-0160, или Heartbleed — ошибка в криптографическом программном обеспечении OpenSSL, которая была выявлена в 2014 году. Эта уязвимость позволяла злоумышленникам красть личные ключи, пароли и другие конфиденциальные данные с сотен тысяч уязвимых сайтов. Также она позволяла несанкционированно читать память на сервере, в том числе для извлечения закрытого ключа сервера. Однако, отмечает издание, CVE-2020-0601 нарушает множество мер безопасности, что делает её одной из самых серьезных уязвимостей за последнее время.

    Механизм автоматического обновления Windows, по всей вероятности, уже исправил уязвимость. Кроме того, патчи для различных уязвимых версий системы доступны на сайте Microsoft.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 15

      0
      Для windows 7 исправление будет? Иначе тот факт, что об уязвимости заявили через день после окончания официального срока её поддержки выглядит двусмысленно.
        +3
        via portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0601#ID0EGB
        Are versions older than Windows 10 versions affected by this vulnerability?
        No, only Windows 10 versions of the OS are affected. In the initial release of Windows 10 (Build 1507, TH1), Microsoft added support for ECC parameters configuring ECC curves. Prior to this, Windows only supported named ECC curves. The code which added support for ECC parameters also resulted in the certificate validation vulnerability. It was not a regression, and versions of Windows which don’t support ECC parameters configuring ECC curves (Server, 2008, Windows 7, Windows 8.1 and servers) were not affected.
        0

        Так я не понимаю, в чём смысл уязвимости-то? Позволяет ставить левые драйвера? Я драйвера никакие не ставлю. Позволяет по https заходить на левые вебсайты? Я IE не пользуюсь. Чем оно мне угрожает-то?

            0
            "What Saleem just demonstrated is: with [a short] script you can generate a cert for any website, and it's fully trusted on IE and Edge with just the default settings for Windows," Kenn White, a researcher and security principal at MongoDB, said. "That's fairly horrifying. It affects VPN gateways, VoIP, basically anything that uses network communications."

            Так ещё раз — если IE/Edge и прочие стандартные виндовые приблуды не используются, то где опасность?

              0
              You can try it out on our demo website, if you want to see it. (Notice this is not a Man-in-the-Middle demonstration, but rather a demo that you can have a certificate that will work under Internet Explorer, Microsoft Edge and even Chrome, and that this certificate can have arbitrary subject alternative names.)

              Там ссылка на PoC.
                –3

                Огнелис сказал, что


                An error occurred during a connection to chainoffools.kudelskisecurity.com. security library: improperly formatted DER-encoded message.

                Так что всё путём, живём дальше. А кто использует IE и Edge — это не ко мне, это к психиатру :)

                  +2

                  Ну если вы уверены, что ни одна из ваших программ не пользуется криптографическими библиотеками Windows, включая Windows Update, любую рандомную программу, которая захочет автоматически обновиться, антивирус и тд, живите дальше. Кроме Firefox.exe у вас ещё много сотен исполняемых файлов и многие скачивают данные из интернета, проверяют их цифровую подпись и интерпретируют эти данные каким-то образом. Каждая такая программа это потенциальная уязвимость.

            0
            Полагаю, позволяет подсунуть левые апдейты через спуфинг адреса сервера обновлений и подписи самих обновлений.
              0

              А Хром свои либы использует или системные?

                0
                После последнего обновления — использует свою реализацию.
              –1
              И самое интересное, что на таких системах крутится гостайна, и ФСТЭК официально выдает всякие сертификаты и разрешения на использование криптографии…
                0

                И скорее всего они даже не знают об уязвимости

                  +2
                  Системы, где крутится гостайна, к интернету не подключены и чтобы до них физически добраться, придется пройти сурового рейд-босса Марию Ивановну на проходной
                    0

                    Мне в другой новости отвечали, что десятка не имеет сертификата ФСТЭК.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое