Her er detaljene om det kritiske Windows-sårbarheten NSA oppdaget
2 min. lese
Publisert på
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Vi rapporterte i går at det var en stor sårbarhet i Windows som undergravde det kryptografiske grunnlaget til operativsystemet.
I dag ga Microsoft ut en oppdatering for sårbarheten og også detaljer om problemet.
Den "brede kryptografiske sårbarheten" ble oppdaget av US National Security Agency (NSA), som bekreftet av NSA-direktøren for Cybersecurity Anne Neuberger.
Microsoft bekreftet CVE-2020-0601 involverer Windows CryptoAPI og sier "det eksisterer et spoofing-sårbarhet i måten Windows CryptoAPI (Crypt32.dll) validerer Elliptic Curve Cryptography (ECC)-sertifikater" som kan brukes til å "signere en ondsinnet kjørbar fil, slik at det ser ut til at filen var fra en klarert , legitim kilde."
Det vil også bli brukt i kryptert kommunikasjon som HTTPS, med Microsoft som sier:
"En vellykket utnyttelse kan også tillate angriperen å utføre man-in-the-midten-angrep og dekryptere konfidensiell informasjon om brukerforbindelser til den berørte programvaren."
Heldigvis påvirker sårbarheten bare Windows 10, Windows Server 2019 og Windows Server 2016 OS-versjoner, og den har ikke blitt utnyttet i naturen.
Til tross for dette var den potensielle effekten av sårbarheten så ille at NSA ble tvunget til å avsløre den til Microsoft, i stedet for å bruke den til egne formål.
Dette er den første avsløringen som Microsoft har kreditert NSA, men Neuberger sier at det markerer en endring i deres holdning til sårbarheter, og byrået ønsker nå ikke lenger å hamstre dem. NSA hadde også advart infrastrukturselskaper om sårbarheten og at oppdateringen kom, og planlegger å gi ut sin egen sikkerhetsrådgivning, med reduserende informasjon og hvordan man oppdager utnyttelse, senere i dag, og oppfordrer også IT-personale til å fremskynde installasjonen av dagens Patch Tuesday sikkerhetsoppdateringer.
Department of Homeland Securitys Cybersecurity & Infrastructure Security Agency (DHS CISA) vil også i dag utgi et nøddirektiv for å varsle den amerikanske private sektoren og offentlige enheter om behovet for å installere de siste Windows OS-fiksene.
via ZDNet