SymCrypt — это основная библиотека криптографических функций, используемая в настоящее время в Windows. С версии 103.5.0 до версии 103.11.0 функция SymCryptXmssSign передает 64-битное значение количества листьев вспомогательной функции, которая принимает 32-битный параметр. Для наборов параметров XMSS^MT с общей высотой дерева >= 32 (включая стандартные предопределенные параметры) это приводит к автоматическому усечению до нуля, что приводит к резкому уменьшению размера временного буфера с последующим переполнением буфера кучи во время вычисления подписи.
Для использования этой проблемы приложение, использующее SymCrypt, должно выполнить подпись XMSS^MT с использованием набора параметров, контролируемого злоумышленником. Приложения редко позволяют использовать для подписи наборы параметров, контролируемые злоумышленником, поскольку подписание — это операция с закрытым ключом, а закрытым ключам по определению следует доверять. Кроме того, подпись XMSS(^MT) следует выполнять только в аппаратном модуле безопасности (HSM).
Подпись XMSS(^MT) предоставляется в SymCrypt только в целях тестирования. Это общее правило, независимо от данного CVE; XMSS(^MT) и другие схемы подписи с отслеживанием состояния являются криптографически безопасными только в том случае, если гарантировано, что одно и то же состояние не может быть повторно использовано для двух разных подписей, что не может быть гарантировано только программным обеспечением. По этой причине подписание XMSS(^MT) также не одобрено FIPS, если оно выполняется за пределами HSM.
Исправлено в версии 103.11.0.
Показать оригинальное описание (EN)
SymCrypt is the core cryptographic function library currently used by Windows. From 103.5.0 to before 103.11.0, The SymCryptXmssSign function passes a 64-bit leaf count value to a helper function that accepts a 32-bit parameter. For XMSS^MT parameter sets with total tree height >= 32 (which includes standard predefined parameters), this causes silent truncation to zero, resulting in a drastically undersized scratch buffer allocation followed by a heap buffer overflow during signature computation. Exploiting this issue would require an application using SymCrypt to perform an XMSS^MT signature using an attacker-controlled parameter set. It is uncommon for applications to allow the use of attacker-controlled parameter sets for signing, since signing is a private key operation, and private keys must be trusted by definition. Additionally, XMSS(^MT) signing should only be performed in a Hardware Security Module (HSM). XMSS(^MT) signing is provided in SymCrypt only for testing purposes. This is a general rule irrespective of this CVE; XMSS(^MT) and other stateful signature schemes are only cryptographically secure when it is guaranteed that the same state cannot be reused for two different signatures, which cannot be guaranteed by software alone. For this reason, XMSS(^MT) signing is also not FIPS approved when performed outside of an HSM. Fixed in version 103.11.0.
Характеристики атаки
Последствия
Строка CVSS v3.1