Microsoft heeft vanavond meerdere beveiligingsupdates uitgebracht, waaronder voor een kwetsbaarheid in Windows 10 die door de NSA is gevonden en het mogelijk maakte om digitale handtekeningen van bestanden te vervalsen. Het lek is door Microsoft als "belangrijk" bestempeld.
De kwetsbaarheid geeft aanvallers niet de mogelijkheid om zonder interactie van gebruikers het systeem over te nemen, zoals bij "kritieke" kwetsbaarheden het geval is. Het probleem bevindt zich in de manier waarop de Windows Crypto API Elliptic Curve Cryptography (ECC) certificaten valideert. Ontwikkelaars kunnen hun Windows-bestanden signeren, zodat gebruikers weten van wie het programma afkomstig is. Door het beveiligingslek had een aanvaller malware van een digitale handtekening kunnen voorzien die van een legitieme bron afkomstig leek.
"De gebruiker zou geen manier hebben om te weten dat het bestand kwaadaardig was, omdat de digitale handtekening van een vertrouwde aanbieder afkomstig leek te zijn", aldus Microsoft. Via de kwetsbaarheid zou een aanvaller ook man-in-the-middle-aanvallen kunnen uitvoeren en vertrouwelijke informatie kunnen ontsleutelen op verbindingen tussen de gebruiker en betreffende software. Het techbedrijf verwacht dat aanvallers op korte termijn misbruik van het lek zullen maken.
De beveiligingsupdate van Microsoft zorgt ervoor dat de Windows CryptoAPI, die door Windows-gebaseerde applicaties wordt gebruikt en zorgt voor het versleutelen en ontsleutelen van gegevens via digitale certificaten, ECC-certificaten nu wel volledig controleert. Het beveiligingslek is aanwezig in Windows 10, Server 2016 en Server 2019. Op de meeste Windowssystemen wordt de beveiligingsupdate automatisch geïnstalleerd.
Het beveiligingslek, aangeduid als CVE-2020-0601, werd door de Amerikaanse geheime dienst NSA aan Microsoft gerapporteerd. De dienst wordt in het beveiligingsbulletin dan ook bedankt door het techbedrijf.
Microsoft meldt in een aparte blogposting dat de kwetsbaarheid voor zover bekend nog niet door aanvallers is gebruikt. Nu informatie over het lek openbaar is zou dit echter slechts een kwestie van tijd zijn. Eerder gingen nog geruchten dat Microsoft updates voor de kwetsbaarheid al aan belangrijke klanten zou hebben aangeboden. Daarop stelt Microsoft dat het voor patchdinsdag aan geen enkele organisatie updates verstrekt die binnen productieomgevingen mogen worden gebruikt.
"Het is niet moeilijk voor te stellen hoe aanvallers van dit lek misbruik kunnen maken. Bijvoorbeeld ransomware of spyware is veel eenvoudiger te installeren wanneer het een geldig certificaat lijkt te hebben", zegt Dustin Childs van het Zero Day Initiative (ZDI). Daarnaast zorgt de update ervoor dat bij gebruik van een vervalst certificaat tegen een gepatcht Windows 10-systeem er een melding in de Windows Event-log wordt gemaakt, wat systeembeheerders kan helpen om te achterhalen of ze zijn aangevallen.
Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit meldt dat elke software, waaronder third-party non-Microsoft software, die van een specifieke functie gebruikmaakt om te bepalen of een X.509-certificaat van een vertrouwde partij afkomstig is, de fout in kan gaan bij het beoordelen van de betrouwbaarheid van de certificaatketen. Door de kwetsbaarheid kan een aanvaller certificaten spoofen, waardoor het mogelijk is om met TLS versleutelde communicatie te onderscheppen en aan te passen of een digitale handtekening te vervalsen.
Deze posting is gelocked. Reageren is niet meer mogelijk.