CryptoAPI

بعد از اینکه Adobe در تاریه ۱۴ ژانویه ۲۰۲۰ اولین به روزرسانی های خود را برای سال ۲۰۲۰ منتشر کرد[۱]، مایکروسافت نیز گزارش امنیتی خود را در ژانویه منتشر کرد که به میلیاردها کاربر در مورد ۴۹ آسیب پذیری جدید در محصولات مختلف خود هشدار می دهد.

آنچه که در مورد آخرین بسته‌ از وصله‌های منتشر شده مهم است این است که یکی از این به روزرسانی ها، مربوط به یک نقص جدی در جزء رمزنگاری هسته اصلی نسخه های ویندوز ۱۰، سرور ۲۰۱۶ و ۲۰۱۹ است که توسط آژانس امنیت ملی ایالات متحده (NSA) کشف و به این شرکت گزارش شده است.

نکته جالب توجه این است که این اولین نقص امنیتی در سیستم عامل ویندوز است که NSA با مسئولیت پذیری آن را به مایکروسافت گزارش داده است؛ بر خلاف نقص Eternalblue SMB که این آژانس حداقل ۵ سال آن را مخفی نگه داشته بود[۲] و سپس توسط یک گروه اسرارآمیز در اختیار عموم قرار گرفت که باعث تهدید WannaCry در سال ۲۰۱۷ شد[۳].

CVE-2020-0601: آسیب پذیری کلاهبرداری CryptoAPI ویندوز

طبق گزارش منتشر شده توسط مایکروسافت، این نقص ملقب به “NSACrypt” است و با عنوان CVE-2020-0601 نام‌گذاری شده است[۴] و در ماژول Crypt32.dll قرار دارد که شامل “توابع مختلف صدور گواهینامه و پیام رمزنگاری” است که توسط Windows CryptoAPI برای مدیریت رمزنگاری و رمزگشایی داده استفاده می شود.

این مشکل در روشی قرار دارد که گواهی نامه های ماژول Crypt32.dll و گواهی نامه های رمزنگاری Elliptic Curve را تایید می کند؛ که در حال حاضر استاندارد صنعت رمزنگاری با کلید عمومی است و در اکثر گواهینامه های SSL/TLS استفاده می شود.

این آژانس در بیانیه مطبوعاتی منتشر شده‌ی خود آورده است[۵]: “آسیب پذیری اعتبار گواهی به یک مهاجم اجازه می دهد تا چگونگی تأیید اعتماد رمزنگاری شده توسط ویندوز را تضعیف کند و می تواند اجرای کد از راه دور را فعال کند.”

بهره برداری از این آسیب پذیری به مهاجمان اجازه می دهد تا از اعتبار اعتماد بین موارد زیر سوءاستفاده کنند:

  • ارتباطات HTTPS
  • فایل ها و ایمیل های امضا شده
  • کد اجرایی امضا شده که به عنوان فرآیندهای حالت کاربر راه اندازی شود.

اگرچه جزئیات فنی این نقص هنوز در دسترس عموم نیست، اما مایکروسافت این نقص را تأیید می کند که در صورت بهره برداری موفقیت آمیز، می تواند به مهاجمان اجازه دهد امضاهای دیجیتالی را روی نرم افزار جعل کند و سیستم عامل را فریب دهد تا نرم افزارهای مخرب نصب کند در حالی که خود را جای یک نرم افزار مشروع و بدون آگاهی کاربران جا زده است.

در گزارش مایکروسافت در این باره آمده است: “آسیب پذیریspoofing  در روشی قرار دارد که Windows CryptoAPI یا همان Crypt32.dll  گواهی نامه های Elliptic Curve Cryptography  یا ECC  را تأیید می کند.”

“یک مهاجم می تواند از این آسیب پذیری با استفاده از گواهی امضای code-signing جعل شده برای امضاء یک عامل موذی استفاده کند و به نظر می رسد که این فایل از یک منبع معتبر و قانونی آمده است. کاربر به هیچ وجه نمی داند که این فایل مخرب است زیرا به نظر می رسد امضای دیجیتال از طرف یک ارائه دهنده قابل اعتماد است.”

علاوه بر این، نقص در CryptoAPI همچنین می تواند کار را برای مهاجمان man-in-the-middle از راه دور ساده کند که امکان جعل وب سایت ها یا رمزگشایی اطلاعات محرمانه در مورد ارتباطات کاربران به نرم افزار آسیب دیده را فراهم می کند.

مایکروسافت در یک پست وبلاگ جداگانه در این باره گفت[۶]: “این آسیب پذیری دارای درجه بندی مهم است و ما ندیده ایم که از آن در حملات فعال استفاده شود.”

“این آسیب پذیری یکی از نمونه های همکاری ما با انجمن تحقیقات امنیتی است که در آن یک آسیب پذیری به صورت خصوصی فاش شد و به روز رسانی مربوطه منتشر شد تا اطمینان حاصل شود که مشتریان در معرض خطر قرار نمی گیرند.”

NSA گفت: “عواقب عدم برطرف شدن این آسیب پذیری شدید و گسترده است. احتمالاً ابزار بهره برداری از راه دور به سرعت و به طور گسترده ای در دسترس خواهد بود.”

علاوه بر آسیب پذیری CryptoAPI spoofing در ویندوز که از نظر شدت در دسته بندی مهم قرار گرفته است، مایکروسافت همچنین ۴۸ آسیب پذیری دیگر را نیز برطرف کرده است که ۸ مورد از آنها در دسته بندی حیاتی و۴۰ مورد دیگر در دسته بندی مهم قرار دارند.

برای این آسیب پذیری هیچ راه حل جلوگیری موقتی در دسترس نیست، بنابراین به شما توصیه می شود با رفتن به تنظیمات سیستم عامل ویندوز خود، آخرین به روزرسانی ها را نصب کنید.

سایر نقص های حیاتی RCE در ویندوز

دو مورد از آسیب پذیری های حیاتی روی Windows Remote Desktop Gateway یا RD Gateway تأثیر می گذارند که تحت عنوان CVE-2020-0609 و CVE-2020-0610 نام‌گذاری شده اند[۷و۸]  که توسط مهاجمان غیرمجاز برای اجرای کد های مخرب در سیستم های مورد هدف و فقط با ارسال یک درخواست خاص ساخته شده و از طریق RDP قابل بهره برداری هستند.

در این گزارش آمده است: “این آسیب پذیری از قبل تأیید هویت شده و نیاز به تعامل با کاربر ندارد. مهاجمی که با موفقیت از این آسیب پذیری بهره برداری کند می تواند کد دلخواه را روی سیستم مورد نظر اجرا کند.”

همچنین یک مسئله حیاتی در Remote Desktop Client وجود دارد که با عنوان CVE-2020-0611 نام‌گذاری شده است[۸] که می تواند منجر به حمله معکوس RDP شود که در آن یک سرور مخرب می تواند کد دلخواه را روی رایانه اتصال دهنده اجرا کند.

در این گزارش آمده است: “برای بهره برداری از این آسیب پذیری، یک مهاجم نیاز به کنترل سرور دارد و سپس کاربر را متقاعد می کند تا به آن متصل شود.”

“یک مهاجم همچنین می تواند یک سرور قانونی را به خطر بیاندازد، میزبان کد مخرب روی آن باشد و منتظر بماند تا کاربر متصل شود.”

خوشبختانه، هیچ یک از عیب هایی که این ماه توسط مایکروسافت وصله شده است به طور عمومی فاش نشده یا در سطح اینترنت مورد بهره برداری قرار نگرفته اند.

منابع

[۱] https://apa.aut.ac.ir/?p=6919

[۲] https://thehackernews.com/2017/04/window-zero-day-patch.html

[۳] https://apa.aut.ac.ir/?p=2580

[۴] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0601

[۵]https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

[۶]https://msrc-blog.microsoft.com/2020/01/14/january-2020-security-updates-cve-2020-0601

[۷] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609

[۸] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610

[۹] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0611

[۱۰] https://thehackernews.com/2020/01/warning-quickly-patch-new-critical.html