Là một phần của bản cập nhật Patch thứ ba mới nhất, Microsoft đã sửa lỗi quan trọng Windows 10 lỗ hổng CryptoAPI (CVE-2020-0601) đã được Cơ quan An ninh Quốc gia phát hiện.
Tuy nhiên, một nhà nghiên cứu bảo mật tên là Saleem Rashid đã không mất nhiều thời gian để chứng minh sự tàn phá mà nó có thể gây ra, theo một cách buồn cười, mặc dù vậy.
Tin tặc đã kiểm tra NSA và GitHub bằng cách giả mạo các trang web được bảo mật HTTPS của họ và cho thấy bất cứ ai có thể giả trang chúng. Rickrolling là một cử chỉ quen thuộc được sử dụng để giới thiệu các lỗ hổng bảo mật bằng cách phát video âm nhạc Rick Astley, siêu âm Never Never Gonna Give You Up, mà Rashid đã làm trên các trang web của NSA và GitHub.
Theo báo cáo của Ars Technica, khai thác Rashid có thể được sử dụng để giả mạo các trang web trên cả Edge và Chrome. Có nhiều khả năng nó cũng sẽ hoạt động tốt trên các trình duyệt dựa trên Chromium khác, bao gồm cả Brave.
Trong khi mã của anh ta chứa hơn 100 dòng, nó có thể bị thu hẹp xuống chỉ còn 10 nếu một số thủ thuật được loại bỏ. Tuy nhiên, có những khía cạnh kỹ thuật khiến cho việc thực hiện một cuộc tấn công như vậy trong thế giới thực trở nên khó khăn.
Chẳng hạn, nó sẽ yêu cầu kẻ tấn công thiết lập một cuộc tấn công Man-In-The-Middle (MITM), đây là một nhiệm vụ khó khăn trừ khi chúng dụ nạn nhân nhấp vào một URL độc hại.
Các ràng buộc lớn nhất là Chrome Chính sách chứng chỉ chặt chẽ và CA gốc phải được lưu trong bộ nhớ cache, mà bạn có thể kích hoạt bằng cách truy cập một trang web hợp pháp sử dụng chứng chỉ, Rashid nói trong tweet của mình.
Kẻ tấn công cũng cần tìm một cách giải quyết cho kỹ thuật ghim chứng chỉ mà Chrome sử dụng để bảo vệ các trang web nhạy cảm, bao gồm cả Google.com. Ở đây, xác thực chứng chỉ của các trang web chỉ được thực hiện nếu nó chứa hàm băm mật mã cụ thể. Điều này là bất kể trang web có chứng chỉ chính hãng hay không.
Bị ảnh hưởng Windows các phiên bản có thể được bảo mật bằng cách sử dụng bản vá mà có sẵn. Vì vậy, nó đã khuyên bạn nên cài đặt nó nếu thiên đường đã thực hiện xong. Đồng thời, Google cũng đang trong quá trình đưa ra bản sửa lỗi cho Chrome hiện đang được thử nghiệm trong các bản phát hành beta.
