В Google Chrome исправлена уязвимость CVE-2020-0601, которой была подвержена Windows 10

2020-01-17 2888 комментарии
Обнаруженная Агентством Национальной Безопасности США (АНБ) уязвимость Windows 10 (CVE-2020-0601) затрагивает не только операционную систему Microsoft, но также может использоваться для проведения атак в браузере Google Chrome

В Google Chrome исправлена уязвимость CVE-2020-0601, которой была подвержена Windows 10

Эксперты по информационной безопасности показали, как можно использовать уязвимость Windows 10 с идентификатором CVE-2020-0601 для подделки доверенных цифровых сертификатов сайтов в Google Chrome. Данные сертификаты могут предупредить вас о попытках взлома.

Одному из экспертов, Салиму Рашиду (Saleem Rashid) удалось подделать SSL сертификат сайта NSA.gov. Из-за уязвимости Google ошибочно рассматривает сертификат как действительный, хотя он на самом деле является фальшивым.

Специалист из Kudelski Security пояснил, что некорректная обработка происходит из-за того, что Chrome использует CryptoAPI Windows 10 для подтверждения действительности сертификатов. Данный API имеет серьезную ошибку в процедуре проверки криптографии на эллиптических кривых. Во вторник Microsoft признала, что злоумышленник может сфальсифицировать сертификат. При этом жертва будет думать, что поддельный сертификат является действительным сертификатом из надежного источника.

Таким образом, благодаря данной уязвимости хакеры получают возможность создавать сайты, которые браузер посчитает официальными. Затем эти сайты могут использоваться для кражи персональной информации. Эксперт Kudelski Security создал подтверждение концепции, которое позволяет проверить работу эксплойта в действии. В уязвимой машине Windows демонстрационная модель сработала как в Chrome, так и в Microsoft Edge. В Firefox отображалась ошибка подключения при попытке загрузки сайта с фальшивым сертификатом.

Хотя данная проблема безопасности вызывает беспокойство у экспертов по информационной безопасности и АНБ, важно отметить, что хакеры десятилетиями успешно обманывают своих жертв с помощью фишинговых сайтов без использования уязвимостей Windows CryptoAPI. Настоящая угроза заключается в том, что иностранные правительства и прогосударственные хакеры контролируют Интернет. Злоумышленник может тайно организовать MITM-атаку («человек посередине»), перехватывая трафик на крупном веб-сайте и перенаправляя всех пользователей в контролируемый хакерами домен.

Например, в 2015 году в Китае пользователи, пытавшиеся посетить портал Outlook.com компании Microsoft, были перенаправлены на похожий сайт на том же домене. К счастью, пользователи получили предупреждение, потому что их браузеры не смогли вернуть доверенный цифровой сертификат. Однако, уязвимость CryptoAPI подрывает эту важную защиту.

Microsoft уже выпустила патч для исправления данной ошибки во Вторник патчей (14 января), который автоматически поставляется в системы Windows 10 через Центр обновления Windows.

Google также поработала над исправлением ошибки в Chrome — исправление уже доступно в новой версии браузера Chrome 79.0.3945.130, которая стала доступна 16 января.

Скачать Google Chrome 79

© . По материалам PCMag

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?