Den NSA-opdagede sårbarhed i Windows 10 påvirker ikke kun Microsoft-operativsystemet; det kan også hjælpe med at skjule hackeforsøg på Googles Chrome-browser.
Onsdag begyndte sikkerhedsforskere at demonstrere, hvordan du kan bruge Windows 10-fejl, CVE-2020-0601, til at falske pålidelige digitale certifikater til officielle webstedsdomæner på Chrome.
En ekspert, Saleem Rashid, gjorde dette ved at spoofe SSL-certifikatet til NSA.gov-webstedet, som først blev rapporteret af Ars Technica.
Takket være sårbarheden fortolker Googles browser fejlagtigt certifikatet som gyldigt, når det i virkeligheden er falsk.
tak til hint :)
de største begrænsninger er Chromes stramme certifikatpolitikker, og at rod-CA'en skal caches, hvilket du kan udløse ved at besøge et legitimt sted, der bruger certifikatet
- Saleem Rashid (@ saleemrash1d)
Fejlæsningen opstår, fordi Chrome er afhængig af Windows 10s CryptoAPI for at validere certifikaterne, fortalte Yolan Romailler hos Kudelski Security, Daxdi.
Desværre har den samme API en alvorlig fejl ved kontrol af elliptisk kurve-kryptografi.
Tirsdag advarede Microsoft om, at du rent faktisk kan rigge et certifikat for at narre systemet til at tro, at det er ægte og fra en betroet kilde.
Det har sikkerhedseksperter, herunder embedsmænd hos NSA, foruroliget.
I de forkerte hænder kunne fejlen hjælpe hackere med at oprette officielt udseende websteder, når de i virkeligheden er designet til at stjæle dine oplysninger.
Romailler har skabt et proof-of-concept, som alle kan besøge for at se fejlen i aktion.
Ved hjælp af en sårbar Windows 10-maskine prøvede Daxdi det, og demoen fungerer på Chrome såvel som Microsofts Edge-browser, men ikke på Firefox, som viser en forbindelsesfejl, når testwebstedet indlæses.
Selvom fejlen er foruroligende, er det vigtigt at bemærke, at hackere med succes har nægtet ofre med lignende phishing-websteder i årtier uden at udnytte fejl i Windows 'CryptoAPI.
Den virkelige trussel er, hvis en modstander, som en udenlandsk regering eller elite-nation-hackere, styrer et internetnetværk.
Modstanderen kunne i hemmelighed iscenesætte et "mand-i-midten-angreb" ved at opfange trafikken til et større websted og omdirigere alle brugerne til et hackerstyret domæne.
Et eksempel på dette skete i 2015, da brugere i Kina, der forsøgte at besøge Microsofts Outlook.com, kort blev omdirigeret til et lignende sted på samme domæne.
Heldigvis blev brugerne tipset, fordi deres browsere ikke kunne returnere et betroet digitalt certifikat.
Imidlertid truer CryptoAPI-bugten med at underminere denne vigtige beskyttelse.
Anbefalet af vores redaktører
Den gode nyhed er, at Microsoft har udstedt en patch til at rette fejlen, som også ruller ud direkte til Windows 10-brugere, der har automatiske opdateringer slået til.
Ifølge Ars Technica arbejder Google også på en løsning til Chrome-browseren, der allerede er tilgængelig i betaversionerne.
På Chrome krævede udnyttelse af fejlen kun Romailler at skrive 50 linjer computerkode.
For at kunne falske et certifikat skal Chrome dog allerede have indlæst og gemt rodcertifikatet i browserens cache.
Dette kan gøres simpelthen ved at lede browseren til først at besøge et separat websted med rodcertifikatet, før de deltager i spoofing-angrebet.
