Especialistas en seguridad de Akamai creado Exploit para la vulnerabilidad CVE-2022-34689 del componente Windows CryptoAPI responsable de las operaciones criptográficas. La vulnerabilidad se puede usar para falsificar certificados digitales y luego usarlos para firmar código malicioso o pasar la autenticación. Cabe señalar que Microsoft lanzó un parche para esta vulnerabilidad hace unos meses, pero parece que muchos usuarios han ignorado el parche.
Fuente de la imagen: techspot.com
La vulnerabilidad mencionada fue descubierta el año pasado por empleados de la NSA de EE. UU. y el Centro Nacional de Ciberseguridad Británico. Microsoft lanzó una revisión para solucionar el problema en agosto y en octubre se publicó información pública sobre el problema. Según los informes, CVE-2022-34689 podría usarse para manipular certificados digitales para hacerse pasar por un atacante o realizar otras acciones, como autenticación o firma de código con certificados digitales.
Los empleados de Akamai han desarrollado Operación de PoC para CryptoAPI, teniendo en cuenta que Windows utiliza este componente para manejar todas las operaciones criptográficas. Se utiliza para procesar certificados digitales y en navegadores para validar certificados TLS. El concepto de ataque CVE-2022-34689 se probó en Chrome 48, pero el problema también ocurre en versiones anteriores del navegador y otras aplicaciones basadas en Chromium.
Según los investigadores, hay muchas otras aplicaciones vulnerables afectadas por este problema. El informe indica que la gran mayoría de los administradores de sistemas y profesionales de TI no han instalado el parche que Microsoft lanzó hace unos meses para corregir la vulnerabilidad CryptoAPI en sus redes controladas. Akamai estima que solo el 1 % de los dispositivos «visibles» en los centros de datos han recibido el parche de Microsoft, mientras que el 99 % restante de los servidores Windows «visibles en la Web» siguen siendo vulnerables a este problema.
«Defensor de los viajes extremos. Amante del café. Experto en tocino total. Wannabe tv pionero».
También te puede interesar
-
Cómo el ultraciclista Kabir Rachure recorrió 900 km en bicicleta a través de Ladakh para establecer un récord
-
Google Meet obtiene una nueva función de IA generativa «Toma notas por mí»
-
Google implementa Gems e Imagen 3 en Gemini Advanced
-
Infinix Hot 50 5G con procesador MediaTek Dimensity y clasificación IP54 lanzado el 5 de septiembre: características esperadas
-
El Direct final de Nintendo para este verano estará compuesto por 40 minutos de juegos independientes y de partners para Switch