【真假難分】Windows CryptoAPI偽冒漏洞 可信證書不可信
Microsoft 的 Windows CryptoAPI 系統架構,再次被發現安全漏洞,雖然漏洞早於去年 8 月被堵塞,不過科技公司 Akamai 指,網絡上還有大量設備存在漏洞,而他們更已發布利用該漏洞的概念驗證(PoC),如繼續放任漏洞存在,將可讓黑客透過偽冒證書安裝各種惡意軟件。
CryptoAPI 是 Microsoft 為 Windows 作業系統加入的密碼編譯功能,可以用於加密或解密資料,以及驗證下載軟件的證書與開發者的證書是否一致,杜絕偽冒行為。不過,英國國家安全機構去年便發現 Windows CryptoAPI 存在漏洞(CVE-2022-34689),可讓黑客偽造軟件訊息中的 MD5 值,將惡意軟件成功假扮成其他可信機構推出的軟件,又或以中間人攻擊攔截收發的訊息及進行解密。
Akamai 研究員指出,通過這漏洞,黑客可以影響 HTTPS 加密連線、已簽證程式碼、檔案及電郵的可信性,導致 Windows 作業系統及其他網絡安全工具無法發現可疑之處,順利授權惡意軟件安裝。研究員又指出,在網絡上可發現的數據中心裝置,只有低於 1% 已安裝安全更新,另外,Chrome v48 或以前版本,以及其他以 Chromium 為底層技術的瀏覽器都存在相同漏洞,警告可引發非常嚴重的安全事故。
研究員補充,除了在網絡上可公開搜尋到的伺服器,其他如已停止技術支援的 Windows 7 作業系統裝置及應用程式,仍然使用這個有問題的 API,因此強烈建議 IT 管理員及用家,立即安裝 Microsoft 提供的 Windows 更新,以保護服務器及端點設備。至於開發人員,研究員建議日後在使用其他 WinAPI 時,必須雙重確認證書的有效性,例如可查閱 CertVerifyCertificateChainPolicy。
Windows CryptoAPI 偽冒漏洞已非首次發生,美國國家安全局在兩年多前,便曾發現類似攻擊,而且當年更有安全機構研究員,在報告刊出後的 24 小時內,發布了漏洞利用的手段及程式碼,間接逼使美國 CISA 緊急指令聯邦機構,必須在十個工作天內堵塞所有端點裝置的漏洞,可見嚴重性相當之高。
相關文章:【驗證漏洞】Microsoft安全證書不可信 加料驅動程式輕易取得最高權限