Компания Akamai рассказала об угрозе безопасности для серверов на системе Windows и компьютеров датацентров. Угроза исходит от закрытой Microsoft несколько месяцев назад ошибки. Дело за малым - установить патч, что мало кто сделал.

Интерфейс CryptoAPI может использоваться программами на Win32 для управления безопасностью и криптографическими методами, вроде проверки сертификатов или подлинности. Ещё CryptoAPI может позволить подделывать удостоверения и сертификатов.

По мнению аналитиков фирмы Akamai Security, так и произошло в случае с уязвимостью CVE-2022-34689. Раскрытая АНБ США и Национальным центром кибербезопасности Великобритании (NCSC), «уязвимость Windows CryptoAPI Spoofing» получила патч Microsoft в прошлом августе. Публично о её существовании рассказали в октябре.

Бюллетень по безопасности Microsoft сообщил, что CVE-2022-34689 могут применять для подделки личности и выполнения таких действий, как аутентификация или подпись кода.

Хакеры могут применять CVE-2022-34689 для цифровой подписи вредоносных исполняемых файлов или для создания сертификата TLS, выглядящего как принадлежащий легальной организации. Так можно обманывать приложения вроде браузеров, заставляя их доверять вредоносному сертификату. Ошибка обозначена как критическая и получила оценку серьёзности CVSS 7,5 из 10. Microsoft заявила, что эксплуатация «наиболее вероятна», но эту ошибку нельзя применять для дистанционного выполнения кода.

Akamai опубликовала код проверки концепции (PoC). Он показывает использование этой ошибки в старой версии браузера Chrome 48, где CryptoAPI применяется для проверки достоверности сертификата. С помощью атаки вида «человек посередине» специалисты Akamai смогли использовать вредоносный сертификат для обхода защиты HTTPS.

Кроме Chrome 48 есть много реальных приложений, уязвимых перед этой ошибкой. Опасность сохраняется, поскольку большинство системных администраторов и пользователей за почти полгода так и не установили патч. Защищено менее 1% видимых устройств в датацентрах, так что 99% видимых из интернета Windows-серверов уязвимы, пишет Techspot.