Windows CryptoAPI spoofing vulnerability [CVE-2020-0601]

Any software, including third-party non-Microsoft software, that relies on the Windows CertGetCertificateChain() function to determine if an X.509 certificate can be traced to a trusted root CA may incorrectly determine the trustworthiness of a certificate chain. 

CVE-2020-0601 is a serious vulnerability, because it can be exploited to undermine Public Key Infrastructure (PKI) trust.   PKI is a set of mechanisms that home users, businesses, and governments rely upon in a wide variety of ways.  The vulnerability permits an attacker to craft PKI certificates to spoof trusted identifies, such as individuals, web sites, software companies, service providers, or others.   Using a forged certificate, the attacker can (under certain conditions) gain the trust of users or services on vulnerable systems, and leverage that trust to compromise them.  

https://kb.cert.org/vuls/id/849224/

https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-20…

https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/205…

Fun-fact: First time that NSA found a dangerous software flaw and alerted the firm — rather than weaponizing it

Hozzászólások

Szerkesztve: 2020. 01. 15., sze - 20:39

Böngészők közül elvileg a Firefox nem érintett, de a Chrome-ban használt BoringSSL igen: https://twitter.com/saleemrash1d/status/1217495681230954506

Kód-aláírás PoC: https://twitter.com/layle_ctf/status/1217379269082521600

Az egész hiba abból fakad, hogy az MS engedte, hogy saját curve-ot használjanak a ECC cert-ek: https://medium.com/zengo/win10-crypto-vulnerability-cheating-in-ellipti…

Másik érdekes hiba tegnapról:

CVE-2020-0609 - Microsoft RD Gateway in Windows Server 2012 and later contain two vulnerabilities that can allow an unauthenticated remote attacker to execute arbitrary code with SYSTEM privileges. - https://kb.cert.org/vuls/id/491944/

Persze azt nyilván mindenki tudja, hogy nem rakunk ki ilyesmit publikus webre. Ugye? Khm... https://remote.otpbank.hu/RDWeb/

Self-signed, cert előállítása bármilyen domain-re: https://github.com/kudelskisecurity/chainoffools

Itt tesztelhető (Chrome, Edge):

 - https://usertrustecccertificationauthority-ev.comodoca.com/

 - https://chainoffools.wouaib.ch/

 - Issued to *.kudelskisecurity.com, *.google.com, *.microsoft.com, *.wouaib.ch

 

Ötlet a kihasználásra:

 - Random kávézó mellé berakni egy router-t "Google free wifi" SSID-vel.

 - Csatlakozáskor üdvözlő üzenet, https://usertrustecccertificationauthority-ev.comodoca.com/ Iframe-be (Chrome-ban csak így működik az exploit)

 - Összes Windows-ról érkező http(s) forgalom MITM proxyzása