DÄligt fel i Windows 10 pÄverkar ocksÄ Chrome-webblÀsaren

DÄligt fel i Windows 10 pÄverkar ocksÄ Chrome-webblÀsaren

Den NSA-upptÀckta sÄrbarheten i Windows 10 pÄverkar inte bara Microsofts operativsystem; det kan ocksÄ hjÀlpa till att dölja hackningsförsök i Googles Chrome-webblÀsare.

PÄ onsdag började sÀkerhetsforskare att demonstrera hur du kan anvÀnda Windows 10-felet, CVE-2020-0601, för att förfalska betrodda digitala certifikat för officiella webbplatsdomÀner pÄ Chrome.

En expert, Saleem Rashid, gjorde detta genom att spoofa SSL-certifikatet för NSA.gov-webbplatsen, som först rapporterades av Ars Technica. Tack vare sÄrbarheten tolkar Googles webblÀsare felaktigt certifikatet som giltigt nÀr det i sjÀlva verket Àr falskt.

tack till @ CiPHPerCoders tips 🙂

de största begrÀnsningarna Àr Chromes snÀva certifikatpolicyer och att root-CA mÄste cachas, vilket du kan utlösa genom att besöka en legitim webbplats som anvÀnder certifikatet pic.twitter.com/GgftwVvpY8

– Saleem Rashid (@ saleemrash1d) 15 januari 2020

MisslÀsningen intrÀffar eftersom Chrome förlitar sig pÄ Windows 10: s CryptoAPI för att validera certifikaten, berÀttade Yolan Romailler vid Kudelski Security, till PCMag. TyvÀrr har samma API ett allvarligt fel nÀr det gÀller att kontrollera kryptografi med elliptisk kurva. PÄ tisdag varnade Microsoft för att du faktiskt kan rigga ett certifikat för att lura systemet att tro att det Àr verkligt och frÄn en betrodd kÀlla.

Det Àr sÀkerhetsexperter, inklusive tjÀnstemÀn vid NSA, oroliga. I fel hÀnder kan felet hjÀlpa hackare att skapa webbplatser som ser officiellt ut, nÀr de i sjÀlva verket har utformats för att stjÀla din information. Romailler har skapat ett proof-of-concept som alla kan besöka för att se bristen i handling. Med hjÀlp av en sÄrbar Windows 10-maskin försökte PCMag det och demonstrationen fungerar pÄ Chrome sÄvÀl som Microsofts Edge-webblÀsare, men inte pÄ Firefox, vilket visar ett anslutningsfel nÀr testwebbplatsen laddas upp.

Även om bristen Ă€r störande, Ă€r det viktigt att notera att hackare framgĂ„ngsrikt har tappat offren med likadana nĂ€tfiskewebbplatser i Ă„rtionden utan att utnyttja brister i Windows CryptoAPI. Det verkliga hotet Ă€r om en motstĂ„ndare, som en utlĂ€ndsk regering eller elit-nation-hackare, kontrollerar ett internetnĂ€tverk. MotstĂ„ndaren kunde i hemlighet sĂ€tta in en “man-i-mitten-attack” genom att fĂ„nga trafiken till en större webbplats och omdirigera alla anvĂ€ndare till en hackarkontrollerad domĂ€n.

Ett exempel pÄ detta hÀnde 2015, nÀr anvÀndare i Kina som försökte besöka Microsofts Outlook.com kort omdirigerades till en liknande webbplats pÄ samma domÀn. Tack och lov tipsades anvÀndarna eftersom deras webblÀsare inte kunde returnera ett pÄlitligt digitalt certifikat. CryptoAPI-buggen hotar dock att undergrÀva denna viktiga skydd.

Den goda nyheten Àr att Microsoft har utfÀrdat en korrigering för att ÄtgÀrda felet, som ocksÄ rullar ut direkt till Windows 10-anvÀndare som har automatiska uppdateringar aktiverade. Enligt Ars Technica arbetar Google ocksÄ med en fix för Chrome-webblÀsaren som redan finns i betaversionerna.

PÄ Chrome krÀvde att Romailler skulle skriva 50 rader datorkod för att utnyttja felet. För att lyckas förfalska ett certifikat mÄste Chrome dock redan ha laddat och lagrat rotcertifikatet i webblÀsarens cache. Detta kan göras helt enkelt genom att dirigera webblÀsaren att först besöka en separat webbplats med rotcertifikatet innan de bedriver falska attacker.