Microsoft corectează Windows 10, bug-ul „Authentipocalypse” al serverului – Securitate


Microsoft a lansat detalii despre o vulnerabilitate potențial gravă în Windows 10 și Server, care ar putea fi exploatate pentru a crea certificate spoof pentru a semna fișiere executabile, făcând ca codul rău intenționat să apară ca și cum ar provine de la un furnizor de încredere.

În avizul său pentru CVE-2020-0601, Microsoft a explicat defectul din interfața de programare a aplicațiilor criptografice Windows, astfel cum este furnizat de biblioteca de legături dinamice crypt32.dll, se datorează validării incomplete a certificatelor de criptografie curbură eliptică (ECC).

Vulnerabilitatea a fost descoperit de către serviciul de informații al Agenției Naționale de Securitate a Statelor Unite (NSA) și raportat Microsoft la sfârșitul anului trecut.

Scenariile de amenințare dincolo de semnarea falsă a codului rău intenționat includ exploatarea defectului în atacurile bărbatului în mijloc pentru a decripta comunicările cu victimele, a spus Micosoft.

Microsoft a emis o actualizare de securitate pentru defect, ca parte a setului său de corecții obișnuite Patch Wednesday.

Deși Microsoft apreciază severitatea defectului ca fiind „importantă”, mai degrabă decât critică și nu a găsit încă exploatarea sau dezvăluirea prealabilă a vulnerabilității, observă că este mai probabil să fie abuzat de hackeri.

NSA, însă, „evaluează vulnerabilitatea ca fiind severă”.

"Actorii cibernetici sofisticate vor înțelege defectul de bază foarte rapid și, în cazul în care vor fi exploatate, ar face vulnerabilă platformele menționate anterior fundamental", a spus acesta.[[pdf].

Agenția de informații a cerut utilizatorilor Windows să aplice corecția de securitate cât mai curând posibil.

"Consecințele neplăcerii vulnerabilității sunt severe și răspândite. Instrumentele de exploatare de la distanță vor fi probabil disponibile și pe scară largă disponibile", a indicat ANS.

După aplicarea actualizării de securitate, este posibil să utilizați Windows Event Viewer pentru a găsi încercări de a utiliza certificate falsificate pentru a exploata vulnerabilitatea.

Windows va genera ID-ul de eveniment 1 după fiecare repornire, în secțiunea Windows Logs / Application din Event Viewer atunci când sunt detectate încercările de exploatare.

Instrumentele de certificare OpenSSL și Windows pot fi utilizate pentru inspecția certificatelor, iar NSA a spus că cei cu parametrii curba eliptică definite în mod explicit care se potrivesc doar parțial cu curbele standard sunt suspecte.

Acest lucru se întâmplă mai ales dacă includ chei publice pentru certificate de încredere, ceea ce înseamnă că ar putea reprezenta o încercare de exploatare bona fide, a avertizat ANS.

Experții în securitatea informațiilor dezbat severitatea defectului, care a primit o mulțime de hype înainte de divulgare.

Unii indică faptul că vulnerabilitatea este considerată ca fiind importantă și necesită autentificare pe sisteme înainte de executarea codului de la distanță.

Dar analistul vulnerabilității Computer Computer Emergency Response Team (CERT), Will Dormann, care a avut anterior cunoașterea informațiilor despre eroare, a spus că afectează toate validările lanțurilor de certificate criptografice X.509.

Dormann a conectat CVE-2020-0601 validarea necorespunzătoare a lanțului de certificare X.509 cu o nouă execuție de coduri la distanță neautentificate defect în Windows Remote Desktop Gateway, utilizat pentru a oferi acces la serviciile Desktop la distanță din Windows Server, Microsoft Azure și oferirea de cloud echivalentă AWS.

X.509 este un standard de criptografie al Uniunii Internaționale pentru Telecomunicații (ITU) care definește formatul certificatelor de cheie publică (PKI).

Standardul criptografic stă la baza Transport Layer Security (TLS) pentru HTTPS securizat comunicații și semnături electronice pentru o varietate de scopuri – de la semnarea documentelor la software la validarea acestora provin dintr-o sursă de încredere.

Dacă validarea X.509 poate fi ocolită, orice lucru care se bazează pe certificate înlănțuite poate fi păcălit să accepte acreditări modificate.



Source link

Lasă un răspuns