Akamai Analyse

Risiken einer kritischen Spoofing-Schwachstelle in der Windows CryptoAPI

Windows Schwachstelle
Quelle: Alberto Garcia Guillen / Shutterstock.com

Akamai Security Research hat eine kritische Schwachstelle in der Windows CryptoAPI untersucht, die von der National Security Agency (NSA) und dem National Cyber Security Center (NCSC) gegenüber Microsoft offengelegt wurde. Neu an dem Ansatz ist, dass Akamai als erster den Fehler mit realen Werkzeugen angegangen ist, um zu zeigen, wie er böswillig genutzt werden kann.

Die Sicherheitslücke wurde im August 2022 gepatcht, aber erst am Patch Tuesday im Oktober 2022 öffentlich bekannt gegeben. Daraufhin startete Akamai seine Analysen. Das Risiko betrifft vor allem die USA und Großbritannien, hat aber auch Konsequenzen für User in Deutschland.

Anzeige

Welche Auswirkungen hat eine Zertifikatsfälschung?

Eine Schwachstelle im Verifizierungsprozess von Zertifikaten ist für Angreifer sehr lukrativ. Sie ermöglicht ihnen, ihre Identität zu verschleiern und kritische Sicherheitsvorkehrungen zu umgehen.

Die Zertifikatsüberprüfung ist nicht auf Browser beschränkt, sondern wird auch von anderen TLS-Clients verwendet, z. B. PowerShell-Webauthentifizierung, curl, wget, FTP-Manager, EDRs und vielen anderen Anwendungen. Darüber hinaus werden Code-Signaturzertifikate bei ausführbaren Dateien und Bibliotheken überprüft, und Treiber-Signaturzertifikate beim Laden von Treibern verifiziert.

Wie läuft ein Angriff ab?

Laut Microsoft ermöglicht die Sicherheitslücke Angreifern, sich als legitimes Unternehmen auszugeben. Zunächst wird ein rechtmäßiges Zertifikat entnommen, geändert und die adaptierte Version an das Opfer übermittelt. Anschließend wird ein neues Zertifikat erstellt, dessen MD5 mit dem geänderten legitimen Zertifikat kollidiert. Das neue Zertifikat wird verwendet, um die Identität des Betreffs des ursprünglichen Zertifikats zu fälschen.

Anzeige

Bislang hat Akamai ermittelt, dass alte Versionen von Chrome (v48 und früher) und Chromium-basierte Anwendungen angegriffen werden können. Die Sicherheitsexperten gehen davon aus, dass es weitere anfällige Ziele gibt. Akamai hat festgestellt, dass weniger als ein Prozent der sichtbaren Geräte in Rechenzentren gepatcht sind, so dass der Rest vor der Ausnutzung dieser Schwachstelle ungeschützt ist.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie kann ein Angriff verhindert werden?

Windows-Server und -Endpunkte sollten mit dem neuesten von Microsoft veröffentlichten Sicherheits-Patch versehen werden. Darüber hinaus können Entwickler andere WinAPIs verwenden, um die Gültigkeit eines Zertifikats vor dessen Verwendung zu überprüfen.

Weitere Hintergründe finden Sie auf dem Akamai-Blog.

www.akamai.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.