Tukaj so podrobnosti o kritični ranljivosti sistema Windows, ki jo je odkril NSA

Domov » Microsoft

Ikona časa branja 2 min. prebrati

Ikona koledarja Objavljeno dne

by Surur Davids 

Objavljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

Včeraj smo poročali, da je prišlo do velika ranljivost v sistemu Windows ki je spodkopal kriptografske temelje OS.

Danes je Microsoft izdal popravek za ranljivost in tudi podrobnosti o težavi.

"Široko kriptografsko ranljivost" je odkrila ameriška Agencija za nacionalno varnost (NSA), kar je potrdila direktorica NSA za kibernetsko varnost Anne Neuberger.

Microsoft je potrdil CVE-2020-0601 vključuje Windows CryptoAPI in pravi, da "obstaja ranljivost za ponarejanje v načinu, kako Windows CryptoAPI (Crypt32.dll) preverja potrdila o kriptografiji eliptične krivulje (ECC)," ki se lahko uporabijo za "podpis zlonamerne izvedljive datoteke, zaradi česar je videti, da je bila datoteka iz zaupanja vrednega , zakonit vir.«

Uporabljal bi se tudi v šifrirani komunikaciji, kot je HTTPS, pri čemer Microsoft pravi:

»Uspešno izkoriščanje bi lahko napadalcu omogočilo tudi izvajanje napadov »človek v sredini« in dešifriranje zaupnih informacij o uporabniških povezavah s prizadeto programsko opremo.«

Na srečo ranljivost vpliva samo na različice OS Windows 10, Windows Server 2019 in Windows Server 2016 in ni bila izkoriščena v naravi.

Kljub temu je bil potencialni vpliv ranljivosti tako slab, da jo je bila NSA prisiljena razkriti Microsoftu, namesto da bi jo uporabila za lastne namene.

To je prvo razkritje, ki ga je Microsoft pripisal agenciji NSA, vendar Neuberger pravi, da pomeni spremembo v njihovem odnosu do ranljivosti, saj jih agencija zdaj ne želi več kopičiti. NSA je prav tako opozorila infrastrukturna podjetja na ranljivost in da popravek prihaja, ter načrtuje, da bo pozneje danes izdala svoje lastno varnostno svetovanje z informacijami o ublažitvi in ​​kako odkriti izkoriščanje, prav tako pa je osebje IT pozvala, naj pospeši namestitev današnjega popravka v torek. varnostne posodobitve.

Agencija za kibernetsko varnost in infrastrukturno varnost ministrstva za domovinsko varnost (DHS CISA) bo danes izdala tudi izredno direktivo, da bi zasebni sektor in vladne subjekte ZDA opozorila na potrebo po namestitvi najnovejših popravkov za OS Windows.

Via ZDNet

Več o temah: varnost, Windows 10

Surur Davids

Surur Davids Shield

Strokovnjak za pametne telefone

Surur Davids je ustanovitelj WMPoweruser, ki je kasneje postal MSPoweruser.com. Je strokovnjak za pametne telefone z več kot desetletnimi izkušnjami.