导读 Windows 10中发现的NSA漏洞不仅会影响Microsoft操作系统,而且还会影响Microsoft操作系统。它还可以帮助掩盖在Google Chrome浏览器上的黑
Windows 10中发现的NSA漏洞不仅会影响Microsoft操作系统,而且还会影响Microsoft操作系统。它还可以帮助掩盖在Google Chrome浏览器上的黑客攻击尝试。
从周三开始,安全研究人员开始演示如何使用Windows 10漏洞CVE-2020-0601欺骗Chrome上官方网站域的受信任数字证书。
一位专家Saleem Rashid通过欺骗NSA.gov网站的SSL证书来做到这一点,该证书最早由Ars Technica报告。由于存在此漏洞,因此Google的浏览器会在虚假的情况下错误地将证书解释为有效。
最大的限制是Chrome严格的证书策略,并且必须缓存根CA,您可以通过访问使用证书pic.twitter.com/GgftwVvpY8的合法站点来触发
Kudelski Security的Yolan Romailler告诉PCMag,发生误读是因为Chrome依赖Windows 10的CryptoAPI来验证证书。不幸的是,相同的API在审查椭圆曲线密码学时存在严重的错误。微软周二警告说,您实际上可以操纵证书来欺骗该系统,使它认为它是真实的,并且来自受信任的来源。
这使包括国家安全局官员在内的安全专家感到震惊。如果用不正确的手段,该漏洞可能会帮助黑客创建具有官方外观的网站,而实际上,这些网站被设计用来窃取您的信息。Romailler创建了一个概念验证,任何人都可以访问以查看操作中的漏洞。PCMag使用一台易受攻击的Windows 10计算机进行了尝试,该演示确实可以在Chrome和Microsoft的Edge浏览器上运行,但不能在Firefox上运行,而Firefox在加载测试站点时将显示连接错误。