Oto szczegóły krytycznej luki w systemie Windows wykrytej przez NSA

Strona główna » Microsoft

Ikona czasu czytania 2 minuta. czytać

Ikona kalendarza Opublikowany

by Surura Davidsa 

opublikowane w dniu

Udostępnij ten artykuł

Czytelnicy pomagają wspierać MSpoweruser. Możemy otrzymać prowizję, jeśli dokonasz zakupu za pośrednictwem naszych linków. Ikona podpowiedzi

Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej

Poinformowaliśmy wczoraj, że było główna luka w systemie Windows co podważyło fundamenty kryptograficzne systemu operacyjnego.

Dzisiaj Microsoft opublikował łatę na lukę, a także szczegóły dotyczące problemu.

„Szeroka luka kryptograficzna” została wykryta przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA), co potwierdziła dyrektor ds. cyberbezpieczeństwa NSA Anne Neuberger.

Microsoft potwierdził CVE-2020-0601 dotyczy Windows CryptoAPI i mówi, że „luka fałszowania istnieje w sposobie, w jaki Windows CryptoAPI (Crypt32.dll) weryfikuje certyfikaty kryptografii krzywych eliptycznych (ECC)”, których można użyć do „podpisania złośliwego pliku wykonywalnego, co sprawia wrażenie, że plik pochodzi z zaufanego , legalne źródło”.

Byłby również używany w szyfrowanej komunikacji, takiej jak HTTPS, a Microsoft powiedziałby:

„Udany exploit może również umożliwić atakującemu przeprowadzanie ataków typu „man-in-the-middle” i odszyfrowywanie poufnych informacji dotyczących połączeń użytkownika z zaatakowanym oprogramowaniem”.

Na szczęście luka dotyczy tylko wersji systemu Windows 10, Windows Server 2019 i Windows Server 2016 i nie została wykorzystana na wolności.

Mimo to potencjalny wpływ luki był tak poważny, że NSA została zmuszona do ujawnienia jej firmie Microsoft, zamiast wykorzystywać ją do własnych celów.

Jest to pierwsze ujawnienie, które Microsoft przypisał NSA, ale Neuberger mówi, że oznacza to zmianę ich podejścia do luk w zabezpieczeniach, ponieważ agencja nie chce już ich gromadzić. NSA ostrzegła również firmy infrastrukturalne o luce i nadchodzącej łatce, a także planuje opublikować własny poradnik bezpieczeństwa z informacjami łagodzącymi i sposobami wykrywania nadużyć. aktualizacje zabezpieczeń.

Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury Departamentu Bezpieczeństwa Wewnętrznego (DHS CISA) opublikuje również dzisiaj dyrektywę awaryjną, aby ostrzec amerykański sektor prywatny i instytucje rządowe o konieczności zainstalowania najnowszych poprawek systemu operacyjnego Windows.

Przez ZDNet

Więcej na tematy: bezpieczeństwo, Okna 10

Surura Davidsa

Surura Davidsa Tarcza

Ekspert od smartfonów

Surur Davids jest założycielem WMPoweruser, który później stał się MSPoweruser.com. Jest ekspertem w dziedzinie smartfonów z ponad dziesięcioletnim doświadczeniem.