Des chercheurs publient un programme d'exploitation pour un bogue critique de Microsoft
Les chercheurs d'Akamai ont publié une preuve de concept (PoC) pour une vulnérabilité dans un outil Microsoft qui permet à l'interface de développement d'applications Windows de traiter la cryptographie.
La vulnérabilité, CVE-2022-34689, a été découverte par le National Cyber Security Centre et la National Security Agency du Royaume-Uni. Elle affecte l'outil CryptoAPI et permet à un attaquant de se faire passer pour une entité légitime. La vulnérabilité, qui a un score de 7,5 sur 10, a été corrigée en août 2022 mais n'a été divulguée par Microsoft qu'en octobre.
L'hypothèse selon laquelle la clé d'indexation du cache des justificatifs, qui est basée sur MD5, est exempte de collision est la cause sous-jacente du bogue. La résistance aux collisions de MD5 est connue pour être brisée depuis 2009. Le flux de l'attaque est double par nature. La première étape consiste à prendre un certificat légitime, à le modifier, puis à servir la version modifiée à la victime. La deuxième phase consiste à créer un nouveau certificat dont le MD5 correspond à celui du certificat légitime modifié, puis à utiliser le nouveau certificat pour usurper l'identité du sujet du certificat original.
"Un attaquant pourrait manipuler un certificat public x.509 existant pour usurper son identité et effectuer des actions telles que l'authentification ou la signature de code en tant que certificat ciblé", a déclaré Microsoft en octobre 2022, lorsqu'elle a annoncé des correctifs pour les versions vulnérables de Windows et Windows Server.
Pour exploiter CVE-2022-34689, le CryptoAPI doit mettre en cache le premier certificat (avec la même empreinte MD5 que le précédent) afin que le second certificat (avec la même empreinte MD5 que le précédent) puisse être fiable immédiatement car Microsoft ne revérifie pas les certificats mis en cache.
La CryptoAPI de Windows fournit une interface permettant aux développeurs d'ajouter des services cryptographiques à leurs applications, tels que le cryptage/décryptage de données et l'authentification via des certificats numériques.
Il est donc important que les organisations installent la dernière mise à jour afin de s'assurer qu'elles ne sont pas vulnérables à des failles pouvant être exploitées par des attaquants.
Les sources de cet article comprennent un article de TheHackerNews.