Le code de preuve de concept (Poc) a été publié pour une faille de sécurité de haute gravité maintenant corrigée dans Windows CryptoAPI que la National Security Agency (NSA) des États-Unis et le National Cyber ​​Security Center (NCSC) du Royaume-Uni ont signalé à Microsoft l’année dernière .

Suivie sous le nom de CVE-2022-34689 (score CVSS : 7,5), la vulnérabilité d’usurpation d’identité a été corrigée par le géant de la technologie dans le cadre des mises à jour du Patch Tuesday publiées en août 2022, mais n’a été rendue publique que deux mois plus tard, le 11 octobre 2022.

« Un attaquant pourrait manipuler un certificat x.509 public existant pour usurper son identité et effectuer des actions telles que l’authentification ou la signature de code en tant que certificat ciblé », a déclaré Microsoft dans un avis publié à l’époque.

Windows CryptoAPI offre une interface permettant aux développeurs d’ajouter des services cryptographiques tels que le chiffrement/déchiffrement des données et l’authentification à l’aide de certificats numériques à leurs applications.

La société de sécurité Web Akamai, qui a publié le PoC, a déclaré que CVE-2022-34689 est enracinée dans le fait que le morceau de code vulnérable conçu pour accepter un certificat x.509 a effectué une vérification qui reposait uniquement sur l’empreinte MD5 du certificat.

MD5, un algorithme de résumé de message utilisé pour le hachage, est essentiellement cassé cryptographiquement depuis décembre 2008 en raison du risque d’attaques d’anniversaire, une méthode cryptanalytique utilisée pour trouver des collisions dans une fonction de hachage.

L’effet net de cette lacune est qu’elle ouvre la porte à un mauvais acteur pour servir une version modifiée d’un certificat légitime à une application victime, puis créer un nouveau certificat dont le hachage MD5 entre en collision avec le certificat truqué et l’utiliser pour se faire passer pour l’entité d’origine.

En d’autres termes, la faille pourrait être militarisée par un intrus voyou pour mettre en scène une attaque mallory-in-the-middle (MitM) et rediriger les utilisateurs s’appuyant sur une ancienne version de Google Chrome (version 48 et antérieure) vers un site Web arbitraire du choix de l’acteur simplement parce que la version sensible du navigateur Web fait confiance au certificat malveillant.

« Les certificats jouent un rôle majeur dans la vérification d’identité en ligne, rendant cette vulnérabilité lucrative pour les attaquants », a déclaré Akamai.

Bien que la faille ait une portée limitée, la société basée dans le Massachusetts a souligné « il y a encore beaucoup de code qui utilise cette API et pourrait être exposé à cette vulnérabilité, justifiant un correctif même pour les versions abandonnées de Windows, comme Windows 7 ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *