Tu sú podrobnosti o kritickej zraniteľnosti systému Windows, ktorú NSA objavila

Domov » Microsoft

Ikona času čítania 2 min. čítať

Ikona kalendára Publikované dňa

by Surur Davids 

publikované dňa

Zdieľajte tento článok

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu. Ikona popisu

Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac

Včera sme informovali, že došlo k hlavná zraniteľnosť v systéme Windows ktorý podkopal kryptografický základ OS.

Spoločnosť Microsoft dnes vydala opravu zraniteľnosti a tiež podrobnosti týkajúce sa problému.

„Širokú kryptografickú zraniteľnosť“ objavila americká Národná bezpečnostná agentúra (NSA), ako potvrdila riaditeľka kybernetickej bezpečnosti NSA Anne Neubergerová.

Microsoft potvrdil CVE-2020 0601, zahŕňa Windows CryptoAPI a hovorí, že „existuje chyba zabezpečenia spoofingu v spôsobe, akým Windows CryptoAPI (Crypt32.dll) overuje certifikáty Elliptic Curve Cryptography (ECC), ktoré možno použiť na „podpísanie škodlivého spustiteľného súboru, čím sa zdá, že súbor pochádza od dôveryhodného , legitímny zdroj."

Použil by sa aj v šifrovanej komunikácii, ako je HTTPS, pričom Microsoft hovorí:

"Úspešné zneužitie by tiež mohlo útočníkovi umožniť vykonávať útoky typu man-in-the-middle a dešifrovať dôverné informácie o používateľských pripojeniach k napadnutému softvéru."

Našťastie sa táto chyba zabezpečenia týka iba verzií OS Windows 10, Windows Server 2019 a Windows Server 2016 a vo voľnej prírode nebola zneužitá.

Napriek tomu bol potenciálny dopad zraniteľnosti taký zlý, že NSA bola nútená ju zverejniť Microsoftu namiesto toho, aby ju použila na vlastné účely.

Toto je prvé odhalenie, ktoré Microsoft pripísal NSA, ale Neuberger hovorí, že to znamená zmenu v ich postoji k zraniteľnostiam, pričom agentúra sa už nesnaží ich hromadiť. NSA tiež varovala infraštruktúrne spoločnosti na zraniteľnosť a na to, že oprava sa blíži, a plánuje vydať svoje vlastné bezpečnostné poradenstvo s informáciami o zmiernení a o tom, ako odhaliť zneužívanie, neskôr dnes, pričom tiež vyzvala IT pracovníkov, aby urýchlili inštaláciu dnešnej opravy Patch Tuesday. bezpečnostné aktualizácie.

Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry ministerstva vnútornej bezpečnosti (DHS CISA) dnes tiež vydá núdzovú smernicu, ktorá upozorní súkromný sektor a vládne subjekty v USA na potrebu inštalácie najnovších opráv operačného systému Windows.

Cez ZDNet

Viac o témach: zabezpečenia, windows 10

Surur Davids

Surur Davids Shield

Expert na smartfóny

Surur Davids je zakladateľom WMPoweruser, ktorý sa neskôr stal MSPoweruser.com. Je to odborník na smartfóny s viac ako desaťročnými skúsenosťami.