Akamai Technologiesは1月25日(米国時間)、「Exploiting a Critical Spoofing Vulnerability in Windows CryptoAPI|Akamai」において、Windows CryptoAPIの重大な脆弱性に対する概念実証(PoC: Proof of Concept)をリリースしたと伝えた。この脆弱性は米国家安全保障局(NSA: National Security Agency)および英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)により発見されたもので、Microsoftに報告されすでにパッチが適用されている。

  • Exploiting a Critical Spoofing Vulnerability in Windows CryptoAPI|Akamai

    Exploiting a Critical Spoofing Vulnerability in Windows CryptoAPI|Akamai

Windows CryptoAPIはデータの暗号化・復号または電子証明書などの認証サービスをアプリケーションに提供するインタフェース。CVE-2022-34689として特定されたWindows CryptoAPIの欠陥は、x.509証明書を操作して身元を偽り認証やコード署名などのアクションを標的に対して実行するスプーフィング攻撃に悪用される可能性がある。なお、この問題はすでに対処済みで、修正プログラムがMicrosoftより配信されている(参考「Microsoft製品に緊急の脆弱性、ただちに累積更新プログラムなどの適用を | TECH+(テックプラス)」)。

この脆弱性を悪用してWindows CryptoAPIを使用するアプリケーションに対して概念実証(PoC: Proof of Concept)を行った結果、バージョン48以前の古いGoogle ChromeおよびChromiumベースのアプリケーションが悪用される可能性があることが明らかとなった。これらのアプリケーションを使用しているユーザーは、不正な証明書を使用する脅威者により任意のWebサイトにリダイレクトされてしまう危険性があるという。

Akamai TechnologiesはWindows CryptoAPIを利用するアプリケーションは多いため、この脆弱性の危険にさらされる可能性は高いと警告。MicrosoftユーザーはMicrosoftからリリースされている最新のセキュリティパッチを速やかに適用することが望まれている。また、開発者は他のWindows APIを併用し証明書の有効性をダブルチェックするという緩和策の実施が推奨されている。