研究人員發佈了針對微軟關鍵漏洞的漏洞利用

Akamai 研究人員發佈了針對 Microsoft 工具中漏洞的概念驗證 （PoC），該工具使 Windows 應用程式開發介面能夠處理加密。

該漏洞 CVE-2022-34689 是由英國國家網路安全中心和國家安全局發現的。它會影響 CryptoAPI 工具，並允許攻擊者偽裝成合法實體。該漏洞的漏洞得分為 7.5 分（滿分 10 分），於 2022 年 8 月修補，但直到 10 月才被微軟披露。

基於 MD5 的憑據緩存索引鍵無衝突的前提是該 bug 的根本原因。自2009年以來，MD5的抗碰撞性一直被打破。攻擊流本質上是雙重的。第一步是獲取合法證書，對其進行修改，然後將修改後的版本提供給受害者。第二階段需要創建一個新證書，其 MD5 與修改後的合法證書的 MD5 匹配，然後使用新證書類比原始證書的消費者。

微軟在 2022 年 10 月宣佈修復易受攻擊的 Windows 和 Windows Server 版本時表示：「攻擊者可以操縱現有的公共 x.509 證書來欺騙他們的身份，並執行身份驗證或代碼簽名等操作作為目標證書。

要利用 CVE-2022-34689，CryptoAPI 必須緩存第一個證書（具有與前一個證書相同的 MD5 指紋），以便可以立即信任第二個證書（具有與前一個證書相同的 MD5 指紋），因為 Microsoft 不會重新檢查緩存的證書。

Windows CryptoAPI 為開發人員提供了一個介面，用於向其應用程式添加加密服務，例如數據加密/解密和通過數位證書進行身份驗證。

因此，組織必須安裝最新更新，以確保它們不容易受到攻擊者可以利用的缺陷的攻擊。

這篇文章的來源包括 TheHackerNews上的一篇文章。

總結

文章名稱

研究人員發佈了針對微軟關鍵漏洞的漏洞利用

描述

已發佈針對 Microsoft 工具中一個缺陷的 PoC，該缺陷使 Windows 應用程式開發介面能夠處理加密。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標