Die von der NSA entdeckte Sicherheitsanfälligkeit in Windows 10 betrifft nicht nur das Microsoft-Betriebssystem.
Es kann auch helfen, Hacking-Versuche im Chrome-Browser von Google zu verschleiern.
Am Mittwoch haben Sicherheitsforscher demonstriert, wie Sie den Windows 10-Fehler CVE-2020-0601 verwenden können, um vertrauenswürdige digitale Zertifikate für offizielle Website-Domains auf Chrome zu fälschen.
Ein Experte, Saleem Rashid, hat dies getan, indem er das SSL-Zertifikat für die NSA.gov-Site gefälscht hat, das erstmals von Ars Technica gemeldet wurde.
Aufgrund der Sicherheitsanfälligkeit interpretiert der Browser von Google das Zertifikat fälschlicherweise als gültig, wenn es sich in Wirklichkeit um eine Fälschung handelt.
Dank an Hinweis :)
Die größten Einschränkungen sind die strengen Zertifikatsrichtlinien von Chrome und das Zwischenspeichern der Stammzertifizierungsstelle, die Sie auslösen können, indem Sie eine legitime Site besuchen, die das Zertifikat verwendet
- Saleem Rashid (@ saleemrash1d)
Die Fehlinterpretation tritt auf, weil Chrome sich bei der Validierung der Zertifikate auf CryptoAPI von Windows 10 verlässt, sagte Yolan Romailler von Kudelski Security gegenüber Daxdi.
Leider hat dieselbe API einen schwerwiegenden Fehler bei der Überprüfung der Kryptographie mit elliptischen Kurven.
Am Dienstag warnte Microsoft, dass Sie tatsächlich ein Zertifikat manipulieren können, um das System dazu zu bringen, zu glauben, dass es echt ist und von einer vertrauenswürdigen Quelle stammt.
Das hat Sicherheitsexperten, darunter Beamte der NSA, alarmiert.
In den falschen Händen könnte der Fehler Hackern helfen, offiziell aussehende Websites zu erstellen, obwohl sie in Wirklichkeit so konzipiert sind, dass sie Ihre Informationen stehlen.
Romailler hat einen Proof-of-Concept erstellt, den jeder besuchen kann, um den Fehler in Aktion zu sehen.
Daxdi hat es auf einem anfälligen Windows 10-Computer versucht und die Demo funktioniert sowohl in Chrome als auch im Microsoft Edge-Browser, jedoch nicht in Firefox, das beim Laden der Testsite einen Verbindungsfehler anzeigt.
Obwohl der Fehler störend ist, ist es wichtig zu beachten, dass Hacker Opfer seit Jahrzehnten erfolgreich mit ähnlichen Phishing-Websites täuschen, ohne Fehler in Windows CryptoAPI auszunutzen.
Die wirkliche Bedrohung besteht darin, dass ein Gegner wie eine ausländische Regierung oder Hacker von Elite-Nationalstaaten ein Internet-Netzwerk kontrolliert.
Der Gegner könnte heimlich einen "Man-in-the-Middle-Angriff" inszenieren, indem er den Datenverkehr zu einer wichtigen Website abfängt und alle Benutzer auf eine von Hackern kontrollierte Domain umleitet.
Ein Beispiel hierfür war 2015, als Benutzer in China, die versuchten, Microsoft Outlook.com zu besuchen, kurz auf eine ähnliche Website in derselben Domain umgeleitet wurden.
Zum Glück wurden Benutzer darauf hingewiesen, dass ihre Browser kein vertrauenswürdiges digitales Zertifikat zurückgeben konnten.
Der CryptoAPI-Fehler droht jedoch diesen wichtigen Schutz zu untergraben.
Empfohlen von unseren Redakteuren
Die gute Nachricht ist, dass Microsoft einen Patch zur Behebung des Fehlers veröffentlicht hat, der auch direkt für Windows 10-Benutzer bereitgestellt wird, für die automatische Updates aktiviert sind.
Laut Ars Technica arbeitet Google auch an einem Fix für den Chrome-Browser, der bereits in den Beta-Versionen verfügbar ist.
Unter Chrome musste Romailler nur 50 Zeilen Computercode schreiben, um den Fehler auszunutzen.
Um ein Zertifikat erfolgreich zu fälschen, muss Chrome das Stammzertifikat jedoch bereits geladen und im Cache des Browsers gespeichert haben.
Dies kann einfach dadurch erreicht werden, dass der Browser angewiesen wird, zuerst eine separate Website mit dem Stammzertifikat zu besuchen, bevor der Spoofing-Angriff ausgeführt wird.
