В 2022 году Агентство национальной безопасности США сообщило Microsoft о критической уязвимости в Windows CryptoAPI. Хотя она была исправлена в августе 2022 года, уязвимость все еще может оказаться проблемой, поскольку злоумышленники все еще могут использовать ее в центрах обработки данных и домах по всему миру.

Уязвимость, отслеживаемая как CVE-2022-34689, имеет оценку Common Vulnerability Scoring System (CVSS) 7,5 благодаря различным показателям. Хотя эта оценка не полностью оценивает опасность этой уязвимости, она является основанием для беспокойства. В случае эксплуатации эта уязвимость может позволить злоумышленнику выдать себя за обычного пользователя с действительными сертификатами, используемыми для подписи или проверки кода.

Группа экспертов компании Akamai сообщает, что злоумышленник с помощью данной уязвимости может скрыть свою личность и обойти различные средства защиты. Это связано с изменением в crypt32.dll с единственной функцией "CreateChainContextFromPathGraph" которая контролирует, что сертификат уже находится в кэше и впоследствии проверен. Прежде чем патч устранит уязвимость, эта проверка будет использовать отпечаток MD5 полученного сертификата и сравнивать его с отпечатком в кэше.

Было высказано предположение, что если полученный отпечаток сертификата точно не совпадает с отпечатком сертификата в кэше, но похож на него интерфейс CryptoAPI считал сертификат проверенным. Теперь команда Akamai доказала это с помощью кода проверки концепции, который обошел одну проверку и заставил Windows поверить, что вредоносный сертификат был доверенным.

Согласно отчету большое количество кода использующего CryptoAPI может быть подвержено этой уязвимости, что может потребовать исправлений даже для устаревших версий Windows, таких как Windows 7. Кроме того отмечается, что "менее 1% видимых устройств в центрах данных исправлены, что делает остальные незащищенными от эксплуатации этой уязвимости". Однако это не так страшно как кажется на первый взгляд, поскольку существует ограниченный набор уязвимых приложений и компонентов Windows, соответствующих критериям эксплуатации уязвимости.

В любом случае исследование уязвимости продолжается, но ожидается, что она не будет похожа на уязвимость CurveBall. Это означает, что вы должны обновлять свои системы, поскольку подобные уязвимости будут продолжать возвращаться и преследовать нас, если их не устранить должным образом.