De door NSA ontdekte kwetsbaarheid in Windows 10 heeft niet alleen invloed op het Microsoft-besturingssysteem; het kan ook helpen bij het verhullen van hackpogingen in de Chrome-browser van Google.
Op woensdag begonnen beveiligingsonderzoekers te demonstreren hoe u de Windows 10-fout, CVE-2020-0601, kunt gebruiken om vertrouwde digitale certificaten voor officiële websitedomeinen in Chrome te vervalsen.
Een expert, Saleem Rashid, deed dit door het SSL-certificaat voor de NSA.gov-site te vervalsen, wat voor het eerst werd gemeld door Ars Technica.
Dankzij de kwetsbaarheid zal de browser van Google het certificaat ten onrechte als geldig interpreteren, terwijl het in werkelijkheid nep is.
dankzij 's hint :)
de grootste beperkingen zijn het strakke certificaatbeleid van Chrome en dat de root-CA in de cache moet worden opgeslagen, wat u kunt activeren door een legitieme site te bezoeken die het certificaat gebruikt
- Saleem Rashid (@ saleemrash1d)
De verkeerde lezing vindt plaats omdat Chrome vertrouwt op CryptoAPI van Windows 10 om de certificaten te valideren, vertelde Yolan Romailler van Kudelski Security aan Daxdi.
Helaas heeft dezelfde API een serieuze bug bij het doorlichten van elliptische curve-cryptografie.
Dinsdag waarschuwde Microsoft dat je een certificaat daadwerkelijk kunt manipuleren om het systeem te laten denken dat het echt is en afkomstig is van een betrouwbare bron.
Dat heeft beveiligingsdeskundigen, waaronder functionarissen van de NSA, gealarmeerd.
In verkeerde handen kan de fout hackers helpen om officieel ogende websites te maken, terwijl ze in werkelijkheid zijn ontworpen om uw informatie te stelen.
Romailler heeft een proof-of-concept gemaakt dat iedereen kan bezoeken om de fout in actie te zien.
Met behulp van een kwetsbare Windows 10-machine probeerde Daxdi het en de demo werkt zowel in Chrome als in de Edge-browser van Microsoft, maar niet in Firefox, dat een verbindingsfout zal weergeven wanneer de testsite wordt geladen.
Hoewel de fout verontrustend is, is het belangrijk op te merken dat hackers al tientallen jaren met succes slachtoffers bedriegen met lookalike phishing-websites, zonder gebruik te maken van de fouten in CryptoAPI van Windows.
De echte dreiging is als een tegenstander, zoals een buitenlandse regering of hackers van een elitestaat, een internetnetwerk controleert.
De tegenstander zou in het geheim een ??"man-in-the-middle-aanval" kunnen organiseren door het verkeer naar een grote website te onderscheppen en alle gebruikers om te leiden naar een door een hacker gecontroleerd domein.
Een voorbeeld hiervan vond plaats in 2015, toen gebruikers in China die probeerden Microsoft's Outlook.com te bezoeken, kort werden omgeleid naar een vergelijkbare site op hetzelfde domein.
Gelukkig werden gebruikers getipt omdat hun browser geen vertrouwd digitaal certificaat kon retourneren.
De CryptoAPI-bug dreigt deze belangrijke beveiliging echter te ondermijnen.
Aanbevolen door onze redacteuren
Het goede nieuws is dat Microsoft een patch heeft uitgegeven om de fout te verhelpen, die ook rechtstreeks wordt uitgerold naar Windows 10-gebruikers die automatische updates hebben ingeschakeld.
Volgens Ars Technica werkt Google ook aan een oplossing voor de Chrome-browser die al beschikbaar is in de bètaversies.
In Chrome hoefde Romailler alleen maar 50 regels computercode te schrijven om de fout te misbruiken.
Om een ??certificaat met succes te vervalsen, moet Chrome het rootcertificaat al in de cache van de browser hebben geladen en opgeslagen.
Dit kan eenvoudig worden gedaan door de browser te vragen eerst een aparte website met het rootcertificaat te bezoeken voordat de spoofing-aanval wordt uitgevoerd.
