Publicidade

Brecha em API de criptografia do Windows ainda atinge 99% dos usuários

Por| Editado por Claudio Yuge | 26 de Janeiro de 2023 às 21h20

Link copiado!

Reprodução/Freepik
Reprodução/Freepik

Uma vulnerabilidade crítica em uma API de criptografia do Windows ainda atinge 99% dos dispositivos utilizados em data centers com visibilidade para a internet. A falha corrigida em agosto do ano passado e revelada publicamente pela Microsoft em outubro foi motivo de alertas do governo dos EUA, por meio da Agência de Segurança Nacional (NSA), e ainda permanece um perigo que pode levar a ataques a partir do uso de certificados falsos, manipulados pelos criminosos.

O segredo está na colisão de algoritmos em formato MD5. O bug que dá origem à exploração estaria presente na CryptoAPI da Microsoft desde 2009 e não faria checagens de colisão de dados; os atacantes, então, poderiam servir um certificado real aos dispositivos-alvo, sendo reconhecido por eles e, na sequência, apresentar explorações usando uma versão modificada, se passando pela original e ganhando acesso aos sistemas para a implantação de malware.

Na ocasião, a Microsoft citou os possíveis ataques usando a brecha como sendo de baixa complexidade, com a aplicação dos certificados legítimos podendo acontecer através de e-mails, documentos e outros tipos de arquivos. Na sequência, então, viriam os executáveis maliciosos, com o sistema operacional Não sendo capaz de identificar a colisão na assinatura MD5 e acreditando se tratar de uma solução legítima, de fonte certificada.

Continua após a publicidade

A brecha rastreada como CVE-2022-34689 também atinge versões mais antigas de navegadores como o Google Chrome e outros baseados em Chromium, mas aqui, a superfície de exploração é menor devido à taxa de atualização mais alta. O mesmo, porém, não pode ser verificado pelos pesquisadores da Akamai, que indicaram que menos de 1% dos aparelhos visíveis nas redes de data centers têm a correção aplicada.

O principal resultado de ataques que utilizem a abertura é a interceptação de informações, assim como a quebra da segurança de conexões criptografadas com a CryptoAPI. O risco é maior, principalmente, para serviços essenciais e organizações governamentais, principais focos do alerta da NSA emitido no final do ano passado, após a correção do problema pela Microsoft oriunda, justamente, de um reporte da agência de segurança.

Enquanto detalhes sobre ataques em andamento e explorações já realizadas não estão disponíveis, os pesquisadores apontam que uma prova de conceito sobre a exploração já estava disponível menos de dois dias depois da revelação pública da falha. A CVE-2022-34689, como é rastreada, segue como um risco contra os sistemas desatualizados, com a indicação sendo a aplicação imediata de updates e correções que impeçam ataques.

Essa orientação, inclusive, foi emitida em caráter de urgência pela CISA, a Agência de Cibersegurança e Infraestrutura do governo americano. O órgão deu 10 dias para que as empresas e organizações oficiais do país realizassem o update, ainda que a diretiva emergencial não tenha acompanhado a indicação de que ataques com fins de espionagem ou financiados por estados-nação rivais estivessem em andamento.

Continua após a publicidade

Outra alternativa, nos casos em que isso não for possível, é o uso de outras APIs de criptografia, incluindo opções fornecidas pela própria Microsoft, como alternativa. Além disso, quando for possível, também dá para desativar o armazenamento em cache de certificados, de forma que cada aplicação tenha sua legitimidade analisada de forma independente, o que também possibilitaria identificar o uso de recursos manipulados ou falsificados.

Fonte: Akamai