Эксперты по информационной безопасности показали, как можно использовать уязвимость Windows 10 с идентификатором CVE-2020-0601 для подделки доверенных цифровых сертификатов сайтов в Google Chrome. Данные сертификаты могут предупредить вас о попытках взлома.
Одному из экспертов, Салиму Рашиду (Saleem Rashid) удалось подделать SSL сертификат сайта NSA.gov. Из-за уязвимости Google ошибочно рассматривает сертификат как действительный, хотя он на самом деле является фальшивым.
Специалист из Kudelski Security пояснил, что некорректная обработка происходит из-за того, что Chrome использует CryptoAPI Windows 10 для подтверждения действительности сертификатов. Данный API имеет серьезную ошибку в процедуре проверки криптографии на эллиптических кривых. Во вторник Microsoft признала, что злоумышленник может сфальсифицировать сертификат. При этом жертва будет думать, что поддельный сертификат является действительным сертификатом из надежного источника.
Таким образом, благодаря данной уязвимости хакеры получают возможность создавать сайты, которые браузер посчитает официальными. Затем эти сайты могут использоваться для кражи персональной информации. Эксперт Kudelski Security создал подтверждение концепции, которое позволяет проверить работу эксплойта в действии. В уязвимой машине Windows демонстрационная модель сработала как в Chrome, так и в Microsoft Edge. В Firefox отображалась ошибка подключения при попытке загрузки сайта с фальшивым сертификатом.
Хотя данная проблема безопасности вызывает беспокойство у экспертов по информационной безопасности и АНБ, важно отметить, что хакеры десятилетиями успешно обманывают своих жертв с помощью фишинговых сайтов без использования уязвимостей Windows CryptoAPI. Настоящая угроза заключается в том, что иностранные правительства и прогосударственные хакеры контролируют Интернет. Злоумышленник может тайно организовать MITM-атаку («человек посередине»), перехватывая трафик на крупном веб-сайте и перенаправляя всех пользователей в контролируемый хакерами домен.
Например, в 2015 году в Китае пользователи, пытавшиеся посетить портал Outlook.com компании Microsoft, были перенаправлены на похожий сайт на том же домене. К счастью, пользователи получили предупреждение, потому что их браузеры не смогли вернуть доверенный цифровой сертификат. Однако, уязвимость CryptoAPI подрывает эту важную защиту.
Microsoft уже выпустила патч для исправления данной ошибки во Вторник патчей (14 января), который автоматически поставляется в системы Windows 10 через Центр обновления Windows.
Google также поработала над исправлением ошибки в Chrome — исправление уже доступно в новой версии браузера Chrome 79.0.3945.130, которая стала доступна 16 января.
Обновления программ, что нового
• Google тестирует Gemini 2.5 Flash — самую «выгодную» рассуждающую ИИ-модель. Как попробовать бесплатно в Google AI Studio
• Масштабное обновление драйвера NVIDIA GeForce Game Readу устраняет сбои и «чёрные экраны» на видеокартах GeForce RTX
• Приложение Т-Банка для iPhone снова в App Store под новым названием — «Freelance Case»
• One UI 7.0 для Galaxy S24: Samsung исправил ошибку и возобновил обновление
• Google выпустила Android 16 Beta 4 — финальный этап перед стабильной версией
• Google переходит на единый домен для всех стран: Google.com заменит региональные версии