El código PoC recién publicado puede explotar un fallo que ya fue parcheado en agosto
Akamai ha desvelado una nueva amenaza de seguridad para los servidores y máquinas de centros de datos basados en Windows, basada en un peligroso fallo que Microsoft corrigió hace meses. Sin embargo, parece que casi nadie se molestó en instalar el parche tan necesario.
Cuando se trata de errores criptográficos peligrosos en Windows, CryptoAPI es el regalo que sigue dando. La interfaz puede ser utilizada por programas Win32 para gestionar la seguridad y las prácticas criptográficas, como la validación de certificados o la verificación de identidades. Pero CryptoAPI también puede traer fallos de seguridad potencialmente críticos a la mencionada plataforma Windows, facilitando la suplantación de identidades y certificados.
CVE-2022-34689
Según los analistas de Akamai Security, eso es exactamente lo que ha ocurrido con la vulnerabilidad conocida como CVE-2022-34689. Revelada por la NSA de EE.UU. y el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido, la "Vulnerabilidad de suplantación de CryptoAPI de Windows" fue parcheada por Microsoft en agosto de 2022, pero no se anunció públicamente hasta octubre de 2022.
Puede leer también | WhatsApp Desktop en Windows ahora funciona incluso cuando tu teléfono está desconectado
Según el boletín de seguridad de Redmond, CVE-2022-34689 puede explotarse para suplantar la verdadera identidad de un atacante y realizar acciones "como autenticación o firma de código como el certificado objetivo."
Según explica Akamai, el problema radica en que CryptoAPI asume que "la clave de índice de caché del certificado, que está basada en MD5, está libre de colisiones". Se sabe desde hace tiempo que MD5 es vulnerable a los problemas de colisión (dos trozos de datos que tienen el mismo hash MD5), pero las versiones antiguas de software que utilizan CryptoAPI siguen siendo vulnerables al fallo.
CVE-2022-34689 puede ser aprovechado por los ciberdelincuentes para firmar digitalmente ejecutables maliciosos y hacer que parezcan proceder de fuentes fiables y seguras, o para crear un certificado TLS que parezca pertenecer a otra organización (legítima) y engañar a una aplicación (es decir, un navegador web) para que confíe en dicho certificado malicioso. El fallo se clasificó como "crítico" y recibió una puntuación de gravedad CVSS de 7,5 sobre 10. Microsoft afirmó que su explotación era "muy probable", aunque el fallo no podía utilizarse para la ejecución remota de código.
Puede leer también | La actualización de Windows rompió la autenticación, la red remota
Ahora Akamai ha publicado un código de prueba de concepto (PoC) que muestra cómo funciona la explotación, empleando una versión antigua del navegador web Chrome (v48) que utiliza CryptoAPI para comprobar la legitimidad de los certificados. Con un ataque man-in-the-middle, los investigadores de Akamai fueron capaces de utilizar un certificado malicioso para romper la seguridad HTTPS.
Akamai dijo que, además de Chrome 48, hay muchos otros objetivos vulnerables "in the wild" que siguen utilizando la función CryptoAPI defectuosa. Lo peor de CVE-2022-34689, sin embargo, es que la inmensa mayoría de los administradores de sistemas y usuarios profesionales no se preocuparon de instalar un parche que ha estado disponible durante seis meses.
Según la empresa de seguridad, "menos del 1% de los dispositivos visibles" en los centros de datos están protegidos, lo que significa que el 99% de los servidores basados en Windows visibles en Internet son vulnerables ahora mismo.
Créditos: Techspot
