Windows10の悪い欠陥はChromeブラウザにも影響します

NSAが発見したWindows10の脆弱性は、Microsoftオペレーティングシステムに影響を与えるだけではありません。また、GoogleのChromeブラウザでのハッキングの試みを偽装するのにも役立ちます。



msi gl63 8rc-664us

水曜日に、セキュリティ研究者は、Windows 10の欠陥であるCVE-2020-0601を使用して、Chromeの公式Webサイトドメインの信頼できるデジタル証明書を偽装する方法のデモンストレーションを開始しました。

ある専門家のSaleemRashidは、最初のNSA.govサイトのSSL証明書をスプーフィングすることでこれを行いました。 報告 ArsTechnicaによる。この脆弱性のおかげで、Googleのブラウザは、実際には偽物であるにもかかわらず、証明書を有効であると誤って解釈します。





誤読が発生するのは、Chromeが証明書の検証にWindows 10のCryptoAPIに依存しているためです、とKudelskiSecurityのYolanRomaillerはGaronに語りました。残念ながら、同じAPIには審査に関する重大なバグがあります 楕円曲線暗号 。火曜日に、Microsoftは、実際に証明書を不正に操作して、システムをだまして、それが本物であり、信頼できるソースからのものであると思わせることができると警告しました。



それには、NSAの職員を含むセキュリティ専門家が警戒している。実際には情報を盗むように設計されているにもかかわらず、この欠陥はハッカーが公式に見えるWebサイトを作成するのに役立つ可能性があります。 Romaillerは コンセプトの証明 誰でも訪問して欠陥の動作を確認できます。脆弱なWindows10マシンを使用して、Garonはそれを試しました。デモは、ChromeとMicrosoftのEdgeブラウザーで機能しますが、Firefoxでは機能しません。Firefoxでは、テストサイトの読み込み時に接続エラーが表示されます。

この欠陥は気がかりですが、ハッカーがそっくりさんで被害者をだましていることに注意することが重要です。 フィッシング WindowsのCryptoAPIの欠陥を悪用することなく、何十年もの間Webサイトを利用できます。本当の脅威は、外国政府やエリート国家ハッカーのような敵がインターネットネットワークを制御するかどうかです。攻撃者は、主要なWebサイトへのトラフィックを傍受し、すべてのユーザーをハッカーが制御するドメインにリダイレクトすることで、「中間者攻撃」を密かに行う可能性があります。

この例は、2015年に中国のユーザーが 試みる MicrosoftのOutlook.comにアクセスするために、同じドメインの類似サイトに一時的にリダイレクトされました。ありがたいことに、ブラウザが信頼できるデジタル証明書を返すことができなかったため、ユーザーはひっくり返されました。ただし、CryptoAPIのバグは、この重要な保護手段を損なう恐れがあります。

編集者からの推薦

テレンス・エデン詐欺師のインターネットドメインは、日付を使用してフィッシング攻撃をマスクします Windows 10の欠陥により、マルウェアが正当なソフトウェアになりすます ハッカーがパスワードを解読してリングカメラをハイジャックする

良いニュースは、マイクロソフトが発行したことです パッチ 自動更新をオンにしているWindows10ユーザーにも直接展開されている欠陥を修正します。 Ars Technicaによると、Googleはベータ版ですでに利用可能なChromeブラウザの修正にも取り組んでいます。

Chromeでは、この欠陥を悪用するには、Romaillerが50行のコンピューターコードを書くだけで済みました。ただし、証明書のなりすましを正常に行うには、Chromeがルート証明書を既に読み込んでブラウザのキャッシュに保存している必要があります。これは、なりすまし攻撃を行う前に、最初にルート証明書を使用して別のWebサイトにアクセスするようにブラウザに指示するだけで実行できます。

推奨されます