Вот подробности критической уязвимости Windows, обнаруженной АНБ
2 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Мы сообщали, что вчера произошло серьезная уязвимость в Windows что подорвало криптографическую основу ОС.
Сегодня Microsoft выпустила исправление для уязвимости, а также подробности о проблеме.
«Широкая криптографическая уязвимость» была обнаружена Агентством национальной безопасности США (АНБ), что подтвердила директор АНБ по кибербезопасности Энн Нойбергер.
Microsoft подтвердила CVE-2020-0601 включает в себя Windows CryptoAPI и говорит, что «существует уязвимость спуфинга в том, как Windows CryptoAPI (Crypt32.dll) проверяет сертификаты криптографии на эллиптических кривых (ECC)», которые можно использовать для «подписания вредоносного исполняемого файла, создавая впечатление, что файл был из доверенного , законный источник».
Он также будет использоваться в зашифрованной связи, такой как HTTPS, при этом Microsoft заявляет:
«Успешный эксплойт также может позволить злоумышленнику проводить атаки «человек посередине» и расшифровывать конфиденциальную информацию о пользовательских подключениях к уязвимому программному обеспечению».
К счастью, уязвимость затрагивает только версии ОС Windows 10, Windows Server 2019 и Windows Server 2016, и в реальных условиях она не использовалась.
Несмотря на это, потенциальное воздействие уязвимости было настолько серьезным, что АНБ было вынуждено сообщить о ней Microsoft, вместо того, чтобы использовать ее в своих целях.
Это первое раскрытие информации, которое Microsoft приписывает АНБ, но Нойбергер говорит, что это знаменует собой изменение их отношения к уязвимостям, и теперь агентство больше не стремится их копить. АНБ также предупредило инфраструктурные компании об уязвимости и о том, что исправление будет выпущено, и планирует выпустить собственные рекомендации по безопасности с информацией о смягчении последствий и способах обнаружения эксплуатации сегодня позже, а также настоятельно призывает ИТ-персонал ускорить установку сегодняшнего исправления во вторник. обновления безопасности.
Агентство кибербезопасности и безопасности инфраструктуры (DHS CISA) Министерства внутренней безопасности также выпустит сегодня экстренную директиву, чтобы предупредить частный сектор США и государственные учреждения о необходимости установки последних исправлений ОС Windows.
С помощью ZDNet