Po tom, čo spoločnosť Adobe dnes vydala svoje prvé aktualizácie programu Patch Tuesday, do roku 2020, spoločnosť Microsoft teraz uverejnila aj svoje januárové bezpečnostné pokyny, ktoré upozorňujú miliardy používateľov na 49 nových zraniteľností v rôznych produktoch.
Čo je zvláštne na poslednom utorok Patch je, že jedna z aktualizácií opravuje vážnu chybu v kryptografickej zložke jadra bežne používanej Windows 10, vydanie 2016 a 2019, ktoré spoločnosť objavila a nahlásila spoločnosti Národná bezpečnostná agentúra (NSA) Spojených štátov.
Zaujímavejšie je, že ide o prvú bezpečnostnú chybu Windows OS, ktorý NSA zodpovedne informoval spoločnosť Microsoft, na rozdiel od chyby Eternalblue SMB, ktorú agentúra udržiavala v tajnosti najmenej päť rokov, a potom ju tajná skupina, ktorá v roku 2017 spôsobila hrozbu WannaCry, prenikla na verejnosť.
CVE-2020-0601: Windows Zraniteľnosť chyby kryptoAPI
Podľa odporúčania vydaného spoločnosťou Microsoft sa chyba označila ako „NSACrypt“a sledované ako CVE-2020-0601, má bydlisko v Crypt32.dll modul, ktorý obsahuje rôzne "funkcie certifikátov a kryptografických správ", ktoré používa Windows Crypto API na manipuláciu so šifrovaním a dešifrovaním údajov.
Problém spočíva v spôsobe, akým modul Crypt32.dll overuje certifikáty Elliptic Curve Cryptography (ECC), ktorý je v súčasnosti priemyselným štandardom pre kryptografiu s verejným kľúčom a používa sa vo väčšine certifikátov SSL / TLS.
V tlačovej správe uverejnenej NSA agentúra vysvetľuje, „zraniteľnosť pri overovaní certifikátu umožňuje útočníkovi oslabiť, ako Windows overte kryptografickú dôveru a môžete povoliť vzdialené vykonávanie kódu. ““
Využitie tejto zraniteľnosti umožňuje útočníkom zneužívať potvrdenie dôvery medzi:
- Spojenia HTTPS
- Podpísané súbory a e-maily
- Podpísaný spustiteľný kód spustený ako procesy v užívateľskom režime
Aj keď technické podrobnosti o chybe ešte nie sú dostupné verejnosti, Microsoft potvrdzuje chybu, ktorá, ak sa úspešne využije, by mohla útočníkom umožniť spoof digitálne podpisy na softvéri, čím by podviedla operačný systém k inštalácii škodlivého softvéru a zároveň sa vydávala za totožnosť akéhokoľvek legitímneho softvéru. —Bez vedomia používateľov.
„Bránia sa spoofingu Windows CryptoAPI (Crypt32.dll) overuje certifikáty Elliptic Curve Cryptography (ECC), “hovorí poradca spoločnosti Microsoft.
„Útočník by mohol túto chybu zabezpečenia zneužiť tak, že by na podpis škodlivého spustiteľného súboru použil spoofed certifikát na podpísanie kódu, čím by sa zdalo, že súbor pochádza z dôveryhodného, legitímneho zdroja. Zdá sa, že pochádza od dôveryhodného poskytovateľa. “
Okrem toho by chyba v CryptoAPI mohla tiež umožniť vzdialeným útočníkom typu človek v strede vydávať sa za webové stránky alebo dešifrovať dôverné informácie o používateľských pripojeniach k postihnutému softvéru.
„Táto zraniteľnosť je klasifikovaná ako dôležitá a nevideli sme ju pri aktívnych útokoch,“ uviedla spoločnosť Microsoft v samostatnom blogovom príspevku.
„Táto zraniteľnosť je jedným z príkladov nášho partnerstva s komunitou výskumu bezpečnosti, v ktorej bola táto chyba odhalená súkromne a bola vydaná aktualizácia, ktorá zaistí, aby zákazníci neboli ohrození.“
„Dôsledky neopravenia zraniteľnosti sú vážne a rozšírené. Nástroje na vzdialené využívanie budú pravdepodobne rýchlo a široko dostupné,“ uviedol NSA.
okrem Windows CryptoAPI spoofing zraniteľnosť, ktorá bola hodnotená ako „dôležitá“ v závažnosti, Microsoft tiež opravil 48 ďalších zraniteľností, 8 z ktorých sú kritické a zvyšok všetkých 40 je dôležitých.
Pre túto chybu zabezpečenia nie je k dispozícii žiadne zmiernenie ani riešenie, preto vám dôrazne odporúčame nainštalovať najnovšie aktualizácie softvéru smerovaním k vášmu zraniteľnému miestu. Windows Nastavenia → Aktualizácia a zabezpečenie → Windows Aktualizácia → kliknite na „Vyhľadať aktualizácie na vašom počítači“.
Ďalšie kritické nedostatky RCE v roku 2007 Windows
Ovplyvňujú to dva kritické problémy Windows Brána vzdialenej pracovnej plochy (RD Gateway), sledovaná ako CVE-2020-0609 a CVE-2020-0610, ktorú môžu neautorizovaní útočníci využiť na vykonávanie škodlivého kódu v cielených systémoch iba odoslaním špeciálne vypracovanej žiadosti prostredníctvom RDP.
„Táto zraniteľnosť je predbežná autentifikácia a nevyžaduje žiadnu interakciu s používateľom. Útočník, ktorý túto zraniteľnosť úspešne zneužil, by mohol v cieľovom systéme vykonať ľubovoľný kód,“ uvádza sa v správe.
Jeden kritický problém v klientovi vzdialenej pracovnej plochy, ktorý sa sleduje ako CVE-2020-0611, by mohol viesť k spätnému útoku RDP, keď škodlivý server môže na počítači pripojujúceho klienta vykonať ľubovoľný kód.
„Aby útočník mohol túto chybu zabezpečenia zneužiť, musel by mať kontrolu nad serverom a potom presvedčiť používateľa, aby sa k nemu pripojil,“ uvádza sa v správe.
„Útočník by tiež mohol ohroziť legitímny server, hostiť na ňom škodlivý kód a čakať na pripojenie používateľa.“
Našťastie žiadna z nedostatkov, ktoré spoločnosť Microsoft vyriešila tento mesiac, nebola zverejnená alebo zistená zneužívaním vo voľnej prírode.
