Beispielcode für kritische Spoofing-Lücke in der Windows CryptoAPI veröffentlicht

Sicherheitsforscher von Akamai haben eine im August 2022 gepatchte Anfälligkeit in der Windows CryptoAPI untersucht. Zudem veröffentlichten sie für die als kritisch eingestufte Schwachstelle einen sogenannten Proof-of-Concept. Er soll anderen Forschern helfen, anfällige Version der CryptoAPI-Bibliothek aufzuspüren. Der Beispielcode könnte indes von Bedrohungsakteuren genutzt werden, um einen Exploit zu entwickeln.

Entdeckt wurde die Schwachstelle mit der Kennung CVE-2022-34689 vom US-Auslandsgeheimdienst National Security Agency (NSA) und der Cybersicherheitsbehörde National Cyber Security Center (NCSC). Microsoft stopfte das kritische Loch schließlich im August 2022, machte den Patch allerdings erst im Oktober 2022 öffentlich.

Angreifer können sich als legitime Unternehmen ausgeben

Der Fehler in der Windows CryptoAPI erlaubt es, den Verifizierungsprozess für Zertifikate zu manipulieren. Laut Microsoft ermöglicht die Sicherheitslücke Angreifern, sich als legitimes Unternehmen auszugeben. Dazu wird ein rechtmäßiges Zertifikat geändert und die adaptierte Version an ein Opfer übermittelt. Anschließend wird ein neues Zertifikat erstellt, dessen MD5 mit dem geänderten legitimen Zertifikat kollidiert. Das neue Zertifikat wird verwendet, um die Identität des Betreffs des ursprünglichen Zertifikats zu fälschen.

Der Analyse von Akamai zufolge können vor allem alte Versionen von Chrome (Version 48 und früher) und Chromium-basierte Anwendungen angegriffen werden. Die Forscher halten aber auch andere Ziele für wahrscheinlich. Zudem sei bisher weniger als ein Prozent der sichtbaren Geräte in Rechenzentren gepatcht worden.

Akamai rät, die aktuell verfügbaren Patches für Windows Server und Windows-Endpoints zu installieren. Alternativ könnten Entwickler auch andere Windows-Programmierschnittstellen nutzen, um die Gültigkeit eines Zertifikats vor dessen Verwendung zu prüfen.