Код эксплойта для критического бага Windows CryptoAPI появился в Сети

Екатерина Быстрова 27 Января 2023 - 09:28

Домашние пользователи

...

Код демонстрационного эксплойта (proof-of-concept, PoC) для критической уязвимости в Windows CryptoAPI уже лежит в Сети. С его помощью злоумышленники могут провести спуфинг сертификата.

Брешь под идентификатором CVE-2022-34689 обнаружили АНБ США и Центр национальной компьютерной безопасности Великобритании, а код эксплойта подготовили исследователи из Akamai.

Microsoft поступила в этом случае грамотно: корпорация подготовила патчи ещё в августе 2022 года, а информацию об уязвимости опубликовала лишь в октябре. Таким образом, у пользователей было дополнительное время для спокойного патчинга.

«Атакующий может провести спуфинг открытого сертификата x.509, пройти аутентификацию или подписать код», — гласит уведомление Microsoft.

Подобный вектор можно использовать достаточно легко, причём злоумышленнику не обязательно быть аутентифицированным. Именно поэтому проблеме присвоили критическую степень опасности.

PoC-код от Akamai можно найти на GitHub. Также исследователи опубликовали информацию, которая может помочь специалистам выявить уязвимую версию библиотеки CryptoAPI.

«Мы пытались обнаружить софт, использующий CryptoAPI и позволяющий провести спуфинг. На данный момент мы нашли только Chrome (версии 48 и более ранние релизы) и другие основанные на Chromium приложения», — заявили в Akamai.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 31 Марта 2023 - 18:42

Общее Защита персональных данных

Система MLS утверждена в качестве стандарта сквозного шифрования

Рабочая группа по стандартизации / развитию интернет-технологий (IETF) санкционировала публикацию документа Messaging Layer Security (MLS) в последней редакции. Новый стандарт диктует использование сквозного шифрования для защиты обмена сообщениями и призван упростить реализацию таких механизмов в веб-приложениях.

Целью разработки являлась унификация процедуры согласования ключей, аутентификации и обеспечения конфиденциальности. Участники, по словам IETF, постарались учесть все прежние достижения в области защиты передачи данных.

Так, MLS-система, как и Double Ratchet (алгоритм управления ключами, используемый в iMessage, Viber, WhatsApp, Signal), может работать в асинхронном режиме, а также обеспечивает защиту пользовательских данных после компрометации криптоключа (Post-Compromise Security, PCS).

С TLS 1.3 новый стандарт роднит надежность аутентификации; параметры безопасности в обоих случаях были подтверждены формальным анализом. Создатели MLS также предусмотрели возможность масштабирования: коллективный обмен можно распространить на тысячи устройств без поражения в безопасности.

За основу спецификаций взяты созданные в IETF черновые варианты мессенджера с MLS-защитой и протокола согласования ключей по MLS. Последний призван решить следующие задачи:

Конфиденциальность — сообщения могут читать только участники группы.
Целостность и достоверность данных — каждое сообщение отправляется аутентифицированным пользователем и не может быть изменено в ходе пересылки.
Аутентичность состава группы — каждый участник может проверить подлинность других собеседников.
Работа в асинхронном режиме — согласование ключей не требует одномоментного присутствия сторон онлайн.
Прямая секретность (Forward Secrecy) — компрометация одного из участников не раскроет сообщения, ранее отправленные в группу.
PCS — компрометация одного из участников не позволит аутсайдеру получить доступ к дальнейшему обмену в группе.
Масштабируемость — учет потребления ресурсов при изменении величины группы.

В настоящее время MLS используют Webex и RingCentral. Переход на MLS также запланирован для Wire, Wickr и Matrix.