Эксперты по информационной безопасности показали, как можно использовать уязвимость Windows 10 с идентификатором CVE-2020-0601 для подделки доверенных цифровых сертификатов сайтов в Google Chrome. Данные сертификаты могут предупредить вас о попытках взлома.
Одному из экспертов, Салиму Рашиду (Saleem Rashid) удалось подделать SSL сертификат сайта NSA.gov. Из-за уязвимости Google ошибочно рассматривает сертификат как действительный, хотя он на самом деле является фальшивым.
Специалист из Kudelski Security пояснил, что некорректная обработка происходит из-за того, что Chrome использует CryptoAPI Windows 10 для подтверждения действительности сертификатов. Данный API имеет серьезную ошибку в процедуре проверки криптографии на эллиптических кривых. Во вторник Microsoft признала, что злоумышленник может сфальсифицировать сертификат. При этом жертва будет думать, что поддельный сертификат является действительным сертификатом из надежного источника.
Таким образом, благодаря данной уязвимости хакеры получают возможность создавать сайты, которые браузер посчитает официальными. Затем эти сайты могут использоваться для кражи персональной информации. Эксперт Kudelski Security создал подтверждение концепции, которое позволяет проверить работу эксплойта в действии. В уязвимой машине Windows демонстрационная модель сработала как в Chrome, так и в Microsoft Edge. В Firefox отображалась ошибка подключения при попытке загрузки сайта с фальшивым сертификатом.
Хотя данная проблема безопасности вызывает беспокойство у экспертов по информационной безопасности и АНБ, важно отметить, что хакеры десятилетиями успешно обманывают своих жертв с помощью фишинговых сайтов без использования уязвимостей Windows CryptoAPI. Настоящая угроза заключается в том, что иностранные правительства и прогосударственные хакеры контролируют Интернет. Злоумышленник может тайно организовать MITM-атаку («человек посередине»), перехватывая трафик на крупном веб-сайте и перенаправляя всех пользователей в контролируемый хакерами домен.
Например, в 2015 году в Китае пользователи, пытавшиеся посетить портал Outlook.com компании Microsoft, были перенаправлены на похожий сайт на том же домене. К счастью, пользователи получили предупреждение, потому что их браузеры не смогли вернуть доверенный цифровой сертификат. Однако, уязвимость CryptoAPI подрывает эту важную защиту.
Microsoft уже выпустила патч для исправления данной ошибки во Вторник патчей (14 января), который автоматически поставляется в системы Windows 10 через Центр обновления Windows.
Google также поработала над исправлением ошибки в Chrome — исправление уже доступно в новой версии браузера Chrome 79.0.3945.130, которая стала доступна 16 января.
Обновления программ, что нового
• Рейтинг лучших смартфонов 2025 года по версии Gizmochina: победа Xiaomi 17 Ultra и лидерство HUAWEI Mate X7
• Смартфон realme P4 Power получит батарею Titan на 10 001 мАч и неделю автономной работы
• Аппаратная блокировка отката прошивки в OnePlus: новые версии ColorOS выводят устройства из строя при даунгрейде
• Обновления безопасности Samsung за январь 2026 года: какие устройства уже получили патч в России
• Официальный анонс Honor Magic 8 Pro Air: рекордная емкость батареи в корпусе 6,1 мм
• Смартфон Redmi Turbo 5 Max получит батарею емкостью 9000 мАч и процессор Dimensity 9500s