להלן הפרטים על הפגיעות הקריטית של Windows שגילתה ה-NSA

דיווחנו אתמול שיש א פגיעות גדולה ב-Windows מה שערער את הבסיס ההצפנה של מערכת ההפעלה.

היום פרסמה מיקרוסופט תיקון לפגיעות וגם פרטים לגבי הנושא.

"הפגיעות הקריפטוגרפית הרחבה" התגלתה על ידי הסוכנות לביטחון לאומי של ארה"ב (NSA), כפי שאושרה על ידי מנהלת אבטחת הסייבר של NSA אן נויברגר.

מיקרוסופט אישרה CVE-2020-0601 כרוך ב-Windows CryptoAPI ואומר "קיימת פגיעות זיוף באופן שבו Windows CryptoAPI (Crypt32.dll) מאמת את אישורי ה-Eliptic Curve Cryptography (ECC)" אשר ניתן להשתמש בהם כדי "לחתום על קובץ הפעלה זדוני, מה שייראה שהקובץ הגיע מקובץ מהימן , מקור לגיטימי."

זה ישמש גם בתקשורת מוצפנת כמו HTTPS, כשמיקרוסופט אומרת:

"ניצול מוצלח יכול גם לאפשר לתוקף לבצע התקפות אדם-באמצע ולפענח מידע סודי על חיבורי המשתמשים לתוכנה המושפעת."

למרבה המזל, הפגיעות משפיעה רק על גירסאות מערכת ההפעלה Windows 10, Windows Server 2019 ו-Windows Server 2016, והיא לא נוצלה בטבע.

למרות זאת, ההשפעה הפוטנציאלית של הפגיעות הייתה כה גרועה עד שה-NSA נאלצה לחשוף אותה למיקרוסופט, במקום להשתמש בה למטרותיהן.

זו החשיפה הראשונה שמיקרוסופט מייחסת ל-NSA, אבל נויברגר אומר שזה מסמן שינוי בגישה שלהם כלפי נקודות תורפה, כאשר הסוכנות כבר לא מחפשת לאגור אותן. ה-NSA גם הזהיר את חברות התשתית מהפגיעות וכי התיקון מגיע, ומתכננת לשחרר ייעוץ אבטחה משלה, עם מידע מפחית וכיצד לזהות ניצול, מאוחר יותר היום, גם קורא לצוות ה-IT לזרז את התקנת התיקון של היום עדכוני אבטחה.

הסוכנות לאבטחת סייבר ותשתיות (DHS CISA) של המחלקה לביטחון המולדת גם תשחרר היום הוראת חירום כדי להתריע למגזר הפרטי האמריקאי ולגופים ממשלתיים על הצורך להתקין את התיקונים האחרונים של מערכת ההפעלה Windows.

בְּאֶמצָעוּת ZDNet