Den NSA-upptäckta sårbarheten i Windows 10 påverkar inte bara Microsoft-operativsystemet; det kan också hjälpa till att dölja hackningsförsök i Googles Chrome-webbläsare.
På onsdagen började säkerhetsforskare att demonstrera hur du kan använda Windows 10-felet, CVE-2020-0601, för att förfalska betrodda digitala certifikat för officiella webbplatsdomäner på Chrome.
En expert, Saleem Rashid, gjorde detta genom att förfalska SSL-certifikatet för NSA.gov-webbplatsen, som först rapporterades av Ars Technica.
Tack vare sårbarheten tolkar Googles webbläsare felaktigt certifikatet som giltigt när det i själva verket är falskt.
tack vare antydan :)
de största begränsningarna är Chrome: s snäva certifikatpolicyer och att root CA måste cachas, vilket du kan utlösa genom att besöka en legitim webbplats som använder certifikatet
- Saleem Rashid (@ saleemrash1d)
Missläsningen inträffar eftersom Chrome förlitar sig på Windows 10: s CryptoAPI för att validera certifikaten, berättade Yolan Romailler på Kudelski Security, till Daxdi.
Tyvärr har samma API ett allvarligt fel när det gäller att kontrollera kryptografi med elliptisk kurva.
På tisdag varnade Microsoft för att du faktiskt kan rigga ett certifikat för att lura systemet att tro att det är verkligt och från en betrodd källa.
Det är säkerhetsexperter, inklusive tjänstemän vid NSA, oroliga.
I fel händer kan felet hjälpa hackare att skapa webbplatser som ser officiellt ut, när de i själva verket har utformats för att stjäla din information.
Romailler har skapat ett proof-of-concept som alla kan besöka för att se bristen i handling.
Med hjälp av en sårbar Windows 10-maskin försökte Daxdi det och demo fungerar på Chrome såväl som Microsofts Edge-webbläsare, men inte på Firefox, vilket visar ett anslutningsfel när testwebbplatsen laddas upp.
Även om bristen är störande, är det viktigt att notera att hackare framgångsrikt har tappat offren med liknande nätfiskewebbplatser i årtionden nu, utan att utnyttja brister i Windows CryptoAPI.
Det verkliga hotet är om en motståndare, som en utländsk regering eller elitnationella hackare, kontrollerar ett internetnätverk.
Motståndaren kunde i hemlighet göra en "man-i-mitten-attack" genom att fånga trafiken till en större webbplats och omdirigera alla användare till en hackarkontrollerad domän.
Ett exempel på detta hände 2015, när användare i Kina försökte besöka Microsofts Outlook.com kort omdirigerades till en liknande webbplats på samma domän.
Tack och lov tipsades användarna eftersom deras webbläsare inte kunde returnera ett pålitligt digitalt certifikat.
Emellertid hotar CryptoAPI-buggen att undergräva denna viktiga skydd.
Rekommenderas av våra redaktörer
Den goda nyheten är att Microsoft har utfärdat en korrigeringsfil för att åtgärda felet, som också rullar ut direkt till Windows 10-användare som har aktiverat automatiska uppdateringar.
Enligt Ars Technica arbetar Google också med en fix för Chrome-webbläsaren som redan finns i betaversionerna.
På Chrome krävde att Romailler skulle skriva 50 rader datorkod för att utnyttja felet.
För att lyckas förfalska ett certifikat måste Chrome dock redan ha laddat och lagrat rotcertifikatet i webbläsarens cache.
Detta kan göras helt enkelt genom att dirigera webbläsaren att först besöka en separat webbplats med rotcertifikatet innan de bedriver falska attacker.
