Akamai Security Research hat eine kritische Schwachstelle in der Windows CryptoAPI untersucht, die von der National Security Agency (NSA) und dem National Cyber Security Center (NCSC) gegenüber Microsoft offengelegt wurde. Neu an dem Ansatz ist, dass Akamai als erster den Fehler mit realen Werkzeugen angegangen ist, um zu zeigen, wie er böswillig genutzt werden kann.
Die Sicherheitslücke wurde im August 2022 gepatcht, aber erst am Patch Tuesday im Oktober 2022 öffentlich bekannt gegeben. Daraufhin startete Akamai seine Analysen. Das Risiko betrifft vor allem die USA und Großbritannien, hat aber auch Konsequenzen für User in Deutschland.
Welche Auswirkungen hat eine Zertifikatsfälschung?
Eine Schwachstelle im Verifizierungsprozess von Zertifikaten ist für Angreifer sehr lukrativ. Sie ermöglicht ihnen, ihre Identität zu verschleiern und kritische Sicherheitsvorkehrungen zu umgehen.
Die Zertifikatsüberprüfung ist nicht auf Browser beschränkt, sondern wird auch von anderen TLS-Clients verwendet, z. B. PowerShell-Webauthentifizierung, curl, wget, FTP-Manager, EDRs und vielen anderen Anwendungen. Darüber hinaus werden Code-Signaturzertifikate bei ausführbaren Dateien und Bibliotheken überprüft, und Treiber-Signaturzertifikate beim Laden von Treibern verifiziert.
Wie läuft ein Angriff ab?
Laut Microsoft ermöglicht die Sicherheitslücke Angreifern, sich als legitimes Unternehmen auszugeben. Zunächst wird ein rechtmäßiges Zertifikat entnommen, geändert und die adaptierte Version an das Opfer übermittelt. Anschließend wird ein neues Zertifikat erstellt, dessen MD5 mit dem geänderten legitimen Zertifikat kollidiert. Das neue Zertifikat wird verwendet, um die Identität des Betreffs des ursprünglichen Zertifikats zu fälschen.
Bislang hat Akamai ermittelt, dass alte Versionen von Chrome (v48 und früher) und Chromium-basierte Anwendungen angegriffen werden können. Die Sicherheitsexperten gehen davon aus, dass es weitere anfällige Ziele gibt. Akamai hat festgestellt, dass weniger als ein Prozent der sichtbaren Geräte in Rechenzentren gepatcht sind, so dass der Rest vor der Ausnutzung dieser Schwachstelle ungeschützt ist.
Wie kann ein Angriff verhindert werden?
Windows-Server und -Endpunkte sollten mit dem neuesten von Microsoft veröffentlichten Sicherheits-Patch versehen werden. Darüber hinaus können Entwickler andere WinAPIs verwenden, um die Gültigkeit eines Zertifikats vor dessen Verwendung zu überprüfen.
Weitere Hintergründe finden Sie auf dem Akamai-Blog.
www.akamai.com