Ερευνητές ασφαλείας δημοσίευσαν τα πρώτα proof-of-concept (PoC) για την ευπάθεια των Windows που αποκάλυψε πρόσφατα η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA).
Το σφάλμα, το οποίο μερικοί το αποκαλούν και CurveBall, επηρεάζει το CryptoAPI (Crypt32.dll), ένα στοιχείο που χειρίζεται κρυπτογραφικές λειτουργίες στο λειτουργικό σύστημα των Windows.
Σύμφωνα με μια τεχνική ανάλυση υψηλού επιπέδου του σφάλματος από τον ερευνητή Tal Be'ery, “η αιτία αυτής της ευπάθειας είναι η λανθασμένη εφαρμογή του Elliptic Curve Cryptography (ECC) μέσα στον κώδικα της Microsoft”.
Σύμφωνα με την NSA, το DHS και τη Microsoft, το σφάλμα (έχει καταχωρηθεί σαν CVE-2020-0601) μπορεί να επιτρέψει σε έναν εισβολέα να:
ξεκινήσει επιθέσεις MitM (man-in-the-middle) και ψεύτικες συνδέσεις HTTPS
να υπογράψει με ψεύτικες υπογραφές αρχεία και μηνύματα ηλεκτρονικού ταχυδρομείου
να υπογράψει ψηφιακά εκτελέσιμο κώδικα που τρέχει μέσα στα Windows
Οι αρχές των ΗΠΑ αντέδρασαν άμεσα και προληπτικά στην συγκεκριμένη ευπάθεια. Η NSA δημοσίευσε μια προειδοποίηση ασφαλείας (κάτι πολύ σπάνιο) για το σφάλμα και το τμήμα CISA της DHS εξέδωσε μια οδηγία έκτακτης ανάγκης, δίνοντας στις κυβερνητικές υπηρεσίες δέκα ημέρες για να ενημερώσουν τα συστήματά τους.
Αυτή είναι η πρώτη φορά που η NSA ανέφερε ένα σφάλμα στη Microsoft. Θα μπορούσαμε να πούμε ότι η υπηρεσία κυκλοφορεί δελτία τύπου για να βελτιώσει την εικόνα της στην κοινότητα για την ασφάλεια στον κυβερνοχώρο μετά τις καταστροφές του EternalBlue που έκλεψαν και κυκλοφόρησαν οι Shadow Brokers. Τα συγκεκριμένα hacking εργαλεία που αναπτύχθηκαν από την NSA και διαρρεύσαν online, χρησιμοποιήθηκαν σε μερικές από τις μεγαλύτερες μολύνσεις από κακόβουλο λογισμικό και επιθέσεις στον κυβερνοχώρο μέχρι σήμερα.
Εμπειρογνώμονες ασφαλείας όπως ο Thomas Ptacek και ο Kenneth White, επιβεβαίωσαν τη σοβαρότητα και τον ευρύ αντίκτυπο της ευπάθειας, αν και δεν επηρεάζει τον μηχανισμό του Windows Update, κάτι το οποίο θα έκανε την απειλή πραγματικό εφιάλτη.
Σε μια ανάρτηση στο blog του την Τρίτη, ο Kenneth White δήλωσε ότι γνώριζε ότι μερικοί άνθρωποι χρειαζόταν λίγες μέρες ακόμα για να δημιουργήσουν ένα PoC που εκμεταλλεύεται την ευπάθεια CurveBall.
Ο πρώτος που το ανέφερε τελικά ήταν ο Saleem Rashid, ο οποίος δημιούργησε ένα proof-of-concept για νε δείξει πως μπορεί να φτιάξει πλαστά πιστοποιητικά TLS και να τα σερβίρει σαν νόμιμα.
Ο Rashid δεν δημοσίευσε τον κώδικα του, αλλά το έκαναν άλλοι λίγες ώρες αργότερα. Το πρώτο δημόσιο PoC του CurveBall κυκλοφόρησε από την Kudelski Security, ενώ ο δεύτερος ήταν ένας Δανός ερευνητής ασφάλειας με το ψευδώνυμο Ollypwn.
Τα καλά νέα ανάμεσα σε όλα αυτά είναι ότι ακόμα κι αν δεν έχετε ενημερώσει το σύστημά σας με το τελευταίο Patch Tuesday, το Windows Defender έχει λάβει τις απαραίτητες ενημερώσεις για να ανιχνεύσει κάθε προσπάθειες ενεργής εκμετάλλευσης του σφάλματος και να προειδοποιήσει τους χρήστες.
