Le bug CryptoAPI rend 99% des serveurs Windows vulnérables

CryptoAPI bug makes 99% of Windows servers vulnerable

WTF ? ! Akamai a dévoilé une nouvelle menace de sécurité pour les serveurs Windows et les machines de centre de données basée sur un bug dangereux corrigé par Microsoft il y a des mois. Cependant, il semble que presque personne n’ait pris la peine d’installer le correctif indispensable.

En ce qui concerne les bugs cryptomonnaies dangereux sur Windows, CryptoAPI est le cadeau qui continue de donner. L’interface peut être utilisée par les programmes Win32 pour gérer les pratiques de sécurité et de chiffrement, comme la validation des certificats ou la vérification des identités. Mais CryptoAPI peut également apporter des failles de sécurité potentiellement critiques à la plate-forme Windows susmentionnée, facilitant ainsi l’usurpation d’identité et de certificat.

Selon les analystes d’Akamai Security Research, c’est exactement ce qui s’est passé avec la vulnérabilité connue sous le nom de CVE-2022-34689. Divulguée par la NSA américaine et le National Cyber ​​​​Security Center (NCSC) du Royaume-Uni, la « vulnérabilité Windows CryptoAPI Spoofing » a été corrigée par Microsoft en août 2022 mais n’a été annoncée publiquement qu’en octobre 2022.

Selon le bulletin de sécurité de Redmond, CVE-2022-34689 peut être exploité pour usurper la véritable identité d’un attaquant et effectuer des actions « telles que l’authentification ou la signature de code en tant que certificat ciblé ».

Comme l’explique Akamai, l’essentiel du problème est que CryptoAPI suppose que « la clé d’index du cache de certificat, qui est basée sur MD5, est sans collision ». MD5 est connu depuis longtemps pour être vulnérable aux problèmes de collision – deux blocs de données qui ont le même hachage MD5 -, mais les anciennes versions logicielles utilisant CryptoAPI sont toujours vulnérables à la faille.

Le bug CryptoAPI rend 99 des serveurs Windows vulnerables

CVE-2022-34689 peut être exploité par des cybercriminels pour signer numériquement des exécutables malveillants et les faire apparaître comme s’ils provenaient de sources fiables et sécurisées, ou pour créer un certificat TLS qui semble appartenir à une autre organisation (légitime) et tromper un application (c’est-à-dire un navigateur Web) à faire confiance audit certificat malveillant. Le bug a été classé comme « critique » et a reçu un score de gravité CVSS de 7,5 sur 10, Microsoft affirmant que l’exploitation était « le plus probable », bien que le bug ne puisse pas être utilisé pour l’exécution de code à distance.

Akamai a maintenant publié un code de preuve de concept (PoC) qui montre comment fonctionne l’exploitation, en utilisant une ancienne version du navigateur Web Chrome (v48) qui utilise CryptoAPI pour vérifier la légitimité du certificat. Grâce à une attaque de type « man-in-the-middle », les chercheurs d’Akamai ont pu utiliser un certificat malveillant pour briser la sécurité HTTPS.

Akamai a déclaré qu’en plus de Chrome 48, il existe de nombreuses autres cibles vulnérables « dans la nature » qui utilisent toujours la fonctionnalité CryptoAPI défectueuse. Le pire à propos de CVE-2022-34689, cependant, est que l’écrasante majorité des administrateurs système et des utilisateurs professionnels ne se souciaient pas d’installer un correctif qui était disponible depuis six mois.

Selon l’entreprise de sécurité, « moins de 1 % des appareils visibles » dans les centres de données sont protégés, ce qui indique que 99 % des serveurs Windows visibles sur Internet sont actuellement vulnérables.