Aqui estão os detalhes da vulnerabilidade crítica do Windows que a NSA descobriu

Início » Microsoft

Ícone de tempo de leitura 2 minutos. ler

Ícone do calendário Publicado em

by Surur Davids 

publicado em

Compartilhe este artigo

Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links. Ícone de dica de ferramenta

Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais

Informamos ontem que houve um grande vulnerabilidade no Windows que minou a base criptográfica do sistema operacional.

Hoje a Microsoft lançou um patch para a vulnerabilidade e também detalhes sobre o problema.

A “ampla vulnerabilidade criptográfica” foi descoberta pela Agência de Segurança Nacional dos EUA (NSA), conforme confirmado pela diretora de segurança cibernética da NSA, Anne Neuberger.

Microsoft confirmado CVE-2020-0601 envolve o Windows CryptoAPI e diz que “existe uma vulnerabilidade de falsificação na maneira como o Windows CryptoAPI (Crypt32.dll) valida certificados de criptografia de curva elíptica (ECC)” que pode ser usado para “assinar um executável malicioso, fazendo parecer que o arquivo era de um , fonte legítima.”

Também seria usado em comunicação criptografada, como HTTPS, com a Microsoft dizendo:

“Uma exploração bem-sucedida também pode permitir que o invasor conduza ataques man-in-the-middle e descriptografe informações confidenciais nas conexões do usuário com o software afetado”.

Felizmente, a vulnerabilidade afeta apenas as versões do sistema operacional Windows 10, Windows Server 2019 e Windows Server 2016 e não foi explorada em estado selvagem.

Apesar disso, o impacto potencial da vulnerabilidade foi tão ruim que a NSA foi forçada a divulgá-la à Microsoft, em vez de usá-la para seus próprios propósitos.

Esta é a primeira divulgação que a Microsoft creditou à NSA, mas Neuberger diz que marca uma mudança em sua atitude em relação às vulnerabilidades, com a agência agora não procurando mais acumulá-las. A NSA também alertou as empresas de infraestrutura sobre a vulnerabilidade e que o patch estava chegando, e planeja lançar seu próprio aviso de segurança, com informações de mitigação e como detectar a exploração, ainda hoje, pedindo também à equipe de TI que agilize a instalação do Patch Tuesday de hoje. atualizações de segurança.

A Agência de Segurança Cibernética e Segurança de Infraestrutura do Departamento de Segurança Interna (DHS CISA) também divulgará hoje uma diretiva de emergência para alertar o setor privado e as entidades governamentais dos EUA sobre a necessidade de instalar as correções mais recentes do sistema operacional Windows.

Através da ZDNet

Mais sobre os tópicos: segurança, janelas 10

Surur Davids

Surur Davids Proteger

Especialista em smartphones

Surur Davids é o fundador do WMPoweruser, que mais tarde se tornou MSPoweruser.com. Ele é um especialista em smartphones com mais de uma década de experiência.