3 min.
- Niezależni badacze publikują kod i statystyki wskazujące, że Microsoft nie wystarczająco poważnie potraktował lukę ujawnioną przez NSA.
- Zagrożenie jest poważne i zagraża przede wszystkim centrom danych.
Badacze z Akamai twierdzą, że poważny błąd w Windows CryptoAPI ujawniony przez NSA i UK National Cyber Security Center (NCSC) oraz naprawiony przez Microsoft w zeszłym roku, wciąż zagraża serwerom Windowsa. Błąd pozwala na cyfrowe podpisywanie plików w taki sposób, że wydają się one pochodzić z zaufanych źródeł. Pozwala też tworzyć certyfikaty TLS, które wydają się należeć do zaufanej organizacji.
Luka (CVE-2022-34689) może zostać wykorzystana do sfałszowania cyfrowych podpisów i umieszczenia ich na szkodliwych plikach. Takie pliki dla systemu Windows i aplikacji wydają się pochodzić z zaufanych źródeł. W rezultacie, aby doszło do ataku, wystarczy jedynie uruchomić pliki na urządzeniu ofiary.
Dodatkowo, atakujący może również stworzyć fałszywy certyfikat TLS, który wydaje się należeć do zaufanej organizacji oraz sprawić, że aplikacja zaufa mu poprzez manipulację CryptoAPI w celu walidacji certyfikatu. Aplikacja jest wtedy przekonana, że atakujący jest wspomnianą organizacją.
W sierpniu 2022 roku Microsoft dyskretnie załatał opisaną lukę. Jej poziom CVSS wynosił 7,5 na 10, mimo że została oznaczona jako krytyczna. Następnie w październiku oficjalnie ujawnił, że luka występowała. Jednocześnie podał, że nie ma przesłanek, by uznać, że luka została kiedykolwiek wykorzystana ani upubliczniona.
Serwery Windowsa w centrach danych mogą okazać się na celowniku
Sytuacja może jednak wyglądać inaczej, zwłaszcza jeśli chodzi o bezpieczeństwo centrów danych opartych na serwerach Windowsa. W swoich badaniach działacze Akamai zademonstrowali kod, który wykorzystuje wspomnianą lukę, by przeprowadzić skuteczny atak typu man-in-the-middle na przestarzałą wersję Chrome'a. Badacze twierdzą, że podatnych na atak wejściowych programów istnieje potencjalnie dużo więcej i że absolutna większość serwerów Windowsa, na których postawiono wiele centrów danych, nie została załatana najnowszą aktualizacją zabezpieczeń.
Zobaczymy, jaki kolejny krok wykona Microsoft lub czy poziom zagrożenia luki wzrośnie. Jeśli jednak jesteś posiadaczem serwera Windows, to nie zwlekaj i wykonaj aktualizację zabezpieczeń.