O código de prova de conceito (Poc) foi lançado para uma falha de segurança de alta gravidade agora corrigida no Windows CryptoAPI que a Agência de Segurança Nacional dos EUA (NSA) relataram à Microsoft no ano passado.

Rastreada como CVE-2022-34689, a vulnerabilidade de falsificação foi abordada pela gigante da tecnologia como parte das atualizações do Patch Tuesday lançadas em agosto de 2022, mas só foi divulgada publicamente dois meses depois, em 11 de outubro de 2022.

“Um invasor pode manipular um certificado x.509 público existente para falsificar sua identidade e executar ações como autenticação ou assinatura de código como o certificado de destino”, disse a Microsoft em um comunicado divulgado na época.

O Windows CryptoAPI oferece uma interface para desenvolvedores adicionarem serviços criptográficos como criptografia/descriptografia de dados e autenticação usando certificados digitais para seus aplicativos.

O efeito líquido dessa falha é que ela abre a porta para um agente mal-intencionado fornecer uma versão modificada de um certificado legítimo para um aplicativo vítima e, em seguida, criar um novo certificado cujo hash MD5 colide com o certificado manipulado e usá-lo para se passar por a entidade original.

Embora a falha tenha um escopo limitado, a empresa apontou que “ainda há muito código que usa essa API e pode estar exposto a essa vulnerabilidade, garantindo um patch mesmo para versões descontinuadas do Windows, como o Windows 7”.