Microsoft corrige une vulnérabilité de Windows découverte par la NSA – Serveur d’impression

L'Agence de sécurité nationale est publiquement reconnue pour ses découvertes et rapports sur CVE-2020-0601, marquant le début de ce qu'elle dit être une nouvelle approche de la sécurité.

Le premier Patch Tuesday de 2020 a fait vibrer l'industrie à propos de 49 CVE, en particulier une vulnérabilité d'usurpation de Windows CryptoAPI révélée à Microsoft par la US National Security Agency (NSA).

CVE-2020-0601, qui affecte la fonctionnalité cryptographique de Windows, existe dans Windows 10, Windows Server 2016 et Windows Server 2019. Il est classé par Microsoft comme Important et classé au niveau un, ou «exploitation plus probable», dans son avis publié aujourd'hui. Ni Microsoft ni la NSA n'ont vu cette vulnérabilité utilisée dans la nature, et l'agence a déclaré qu'elle ne l'avait pas vue dans un outil.

La faille de validation de certificat existe dans la façon dont Windows CryptoAPI (Crypt32.dll) valide les certificats ECC (Elliptic Curve Cryptography). Un attaquant pourrait exploiter le bogue en utilisant un certificat de signature de code usurpé pour signer un exécutable malveillant de sorte que le fichier semble provenir d'une source connue et fiable. Cette décision pourrait tromper à la fois les utilisateurs et les logiciels antivirus, explique le DHS dans une directive d'urgence sur les correctifs actuels. Ni un utilisateur ni le programme AV ne sauraient qu'un fichier est malveillant.

Avec cette vulnérabilité, un attaquant pourrait émettre un certificat conçu de manière malveillante pour un nom d'hôte qui ne l'a pas autorisé. En conséquence, un navigateur qui s'appuie sur CryptoAPI n'émettrait pas d'avertissement à l'utilisateur, donnant à l'intrus un accès pour modifier ou injecter des données sur les connexions utilisateur. Une exploitation réussie pourrait également permettre à un attaquant de lancer des attaques man-in-the-middle et de décrypter les données confidentielles sur les connexions des utilisateurs au logiciel concerné.

Certains endroits où la confiance peut être brisée comprennent les connexions HTTPS, les fichiers et les e-mails signés et le code exécutable signé lancé en tant que processus en mode utilisateur, indique la NSA dans un consultatif. Un attaquant pourrait compromettre les certificats Web et espionner le trafic dans le cadre d'une attaque par l'homme du milieu, ou compromettre les e-mails signés numériquement. Pour les applications utilisant des signatures pour la vérification, un attaquant pourrait manipuler un utilisateur pour déployer une application malveillante signée et semblant réelle.

S'ils sont exploités, CVE-2020-0601 pourrait rendre les plates-formes affectées "fondamentalement vulnérables", selon les responsables, et les conséquences de ne pas corriger cette faille sont "graves et généralisées". L'agence prévoit que les outils d'exploitation à distance seront mis à disposition rapidement et largement.

"Le rayon de souffle est presque aussi mauvais que possible", explique Will Ackerly, CTO et cofondateur de Virtru, qui a passé huit ans avec la NSA, où il était architecte technologique et a créé le Trusted Data Format (TDF). Si le système d'exploitation estime que le logiciel est fiable, les utilisateurs ne verront pas certains dialogues et certains blocs seront contournés.

«Il attaque la confiance», explique le Dr Richard Gold, directeur de l'ingénierie de sécurité chez Digital Shadows, de la vulnérabilité. "Il n'est plus possible de s'appuyer sur les garanties cryptographiques fournies par un système non corrigé." En ce sens, poursuit-il, il s'agit d'un bogue "très grave" car il attaque la confiance des entreprises dans un système pour vérifier les mises à jour, vérifier les signatures et autres mesures.

Nouvelle coopération NSA-fournisseur

Microsoft a publiquement attribué à la NSA le signalement CVE-2020-0601, ce qui s'éloigne de la pratique de l'agence de garder les vulnérabilités secrètes. Cela marque le début d'une nouvelle approche de la NSA, a déclaré la directrice de la cybersécurité de la NSA, Anne Neuberger, lors d'un appel aux journalistes aujourd'hui.

"Nous y avons réfléchi", a déclaré Neuberger au sujet de la décision d'autoriser l'attribution. Alors que la NSA découvre les vulnérabilités depuis longtemps, elle n'a jamais autorisé l'attribution publique à signaler une vulnérabilité.

Les experts de la NSA examinent très attentivement les logiciels, en particulier les logiciels que le gouvernement américain prévoit d'utiliser, y compris Windows et les produits commerciaux. Ils ont fait une évaluation et l'ont confiée à Microsoft. On ne sait pas combien de temps s'est écoulé entre la découverte du bogue par la NSA et le correctif de Microsoft.

Neuberger dit que l'agence trouve régulièrement des vulnérabilités mais en ce qui concerne le processus de reporting, "nous travaillons pour faire plusieurs choses différemment en cours de route." La NSA suit le processus de vulnérabilité des actions (VEP), qui est utilisé par le gouvernement fédéral pour déterminer comment traiter les vulnérabilités au cas par cas: doivent-elles être divulguées au public pour améliorer la sécurité informatique, ou doivent-elles être conservées secret pour une utilisation gouvernementale offensive? Le VEP a été créé entre 2008-2009; le gouvernement a rendu public le processus en novembre 2017.

Ackerly de Virtru dit que ce changement est la prochaine étape d'un changement progressif qu'il a remarqué pendant son temps avec la NSA. Neuberger a coordonné avec d'autres agences et comtés, où ses homologues ont parlé de la valeur de l'engagement public. Nous voyons maintenant la NSA avancer sur ce point.

Verra plus de rapports de vulnérabilité de la NSA? "Nous aborderons chaque situation selon ses mérites", a déclaré Neuberger en réponse.

Mais ne cessez pas de patcher là

Aujourd'hui, Microsoft a également révélé plusieurs bogues Windows RDP. CVE-2020-0609 et CVE-2020-0610 sont des vulnérabilités critiques d'exécution de code à distance de Windows RDP Gateway Server qui existent lorsqu'un attaquant non authentifié se connecte à un système cible à l'aide de RDP et envoie des demandes spécialement conçues. Les deux sont de pré-authentification et ne nécessitent aucune interaction de l'utilisateur; pour les exploiter, un attaquant devrait envoyer une demande spécialement conçue à la passerelle RD d'un système cible via RDP. Les deux vulnérabilités affectent Windows Server 2012 et les versions ultérieures.

Il existe également CVE-2020-0611, une vulnérabilité RCE du client Bureau à distance qui existe lorsqu'un utilisateur se connecte à un serveur malveillant. Un attaquant devrait d'abord avoir le contrôle du serveur, puis convaincre un utilisateur de se connecter via l'ingénierie sociale, l'empoisonnement DNS ou une attaque d'homme au milieu. En cas de succès, ils pourraient exécuter du code arbitraire sur la machine qui se connecte et installer des programmes; afficher, modifier ou supprimer des données; ou créez de nouveaux comptes avec des droits d'utilisateur complets. Ce bogue affecte Windows Server 2012 et plus récent, ainsi que Windows 7 et plus récent.

L'Agence de cybersécurité et de sécurité des infrastructures (CISA) n'est pas au courant de l'exploitation active de ces vulnérabilités, ont écrit des responsables dans l'avis AA20-014A. Il est conseillé aux organisations de hiérarchiser les correctifs pour les systèmes critiques, les systèmes accessibles sur Internet et les serveurs en réseau.

Contenu connexe

Kelly Sheridan est rédactrice en chef à Dark Reading, où elle se concentre sur les actualités et l'analyse de la cybersécurité. Elle est une journaliste spécialisée dans les technologies commerciales qui a précédemment travaillé pour InformationWeek, où elle a couvert Microsoft, et Insurance & Technology, où elle a couvert les finances … Voir la biographie complète

Plus d'informations

  • Microsoft Licence D'accès 5 Utilisateurs Pour Windows Serveur 2016 User Cal 10 Utilisateurs
    Licence d'activation de type OEM Windows (sans abonnement) Guide d'installation de votre produit Assistance technique gratuite 7/7 Livraison immédiate 24/24 Version Multilingue Windows Server 2016 Utilisateur CAL Chaque utilisateur ou poste de travail nécessite une licence pour accéder aux programmes sur le
  • Microsoft Lenovo Windows Serveur 2016 Tse/rds 5 Licences D'accès Client Peripheriques Cal
    Licence d'activation de type OEM Windows (sans abonnement) Guide d'installation de votre produit Assistance technique gratuite 7/7 Livraison immédiate 24/24 Version Multilingue Windows Server 2016 RDS/RDP/TSE DEVICE CAL Chaque utilisateur ou poste de travail nécessite une licence pour accéder aux programmes
  • Microsoft Licence D'accès 5 Utilisateurs Pour Windows Serveur 2016 User Cal 5 Utilisateurs
    Licence d'activation de type OEM Windows (sans abonnement) Guide d'installation de votre produit Assistance technique gratuite 7/7 Livraison immédiate 24/24 Version Multilingue Windows Server 2016 Utilisateur CAL Chaque utilisateur ou poste de travail nécessite une licence pour accéder aux programmes sur le
  • Microsoft Licence D'accès 5 Utilisateurs Pour Windows Serveur 2016 User Cal 5 Utilisateurs
    Licence d'activation de type OEM Windows (sans abonnement) Guide d'installation de votre produit Assistance technique gratuite 7/7 Livraison immédiate 24/24 Version Multilingue Windows Server 2016 Utilisateur CAL Chaque utilisateur ou poste de travail nécessite une licence pour accéder aux programmes sur le
  • Microsoft Lenovo Windows Serveur 2016 Tse/rds 5 Licences D'accès Client Peripheriques Cal
    Licence d'activation de type OEM Windows (sans abonnement) Guide d'installation de votre produit Assistance technique gratuite 7/7 Livraison immédiate 24/24 Version Multilingue Windows Server 2016 RDS/RDP/TSE DEVICE CAL Chaque utilisateur ou poste de travail nécessite une licence pour accéder aux programmes
  • Microsoft Licence D'accès 5 Utilisateurs Pour Windows Serveur 2016 User Cal 10 Utilisateurs
    Licence d'activation de type OEM Windows (sans abonnement) Guide d'installation de votre produit Assistance technique gratuite 7/7 Livraison immédiate 24/24 Version Multilingue Windows Server 2016 Utilisateur CAL Chaque utilisateur ou poste de travail nécessite une licence pour accéder aux programmes sur le
  • Microsoft Windows Serveur Standard 2016 16 Noyaux / 16 Cœurs
    Licence d'activation de type OEM Windows (sans abonnement) Fichier d'installation ISO de Windows (32/64 bits) Guide d'installation de votre produit Assistance technique gratuite 7/7 Livraison immédiate 24/24 Version Multilingue Windows Server 2016 –  Le système d'exploitation orienté cloud La technologie
  • Microsoft Windows Serveur Standard 2016 24 Noyaux / 24 Cœurs
    Licence d'activation de type OEM Windows (sans abonnement) Fichier d'installation ISO de Windows (32/64 bits) Guide d'installation de votre produit Assistance technique gratuite 7/7 Livraison immédiate 24/24 Version Multilingue Windows Server 2016 –  Le système d'exploitation orienté cloud La technologie
  • Microsoft Lenovo Microsoft Windows Serveur 2016 Client Access License - 5 Cal Utilisateurs
    Licence d'activation de type OEM Windows (sans abonnement) Guide d'installation de votre produit Assistance technique gratuite 7/7 Livraison immédiate 24/24 Version Multilingue Windows Server 2016 USER CAL Windows Server 2016 rassemble toute l'expertise acquise par Microsoft dans la conception et la mise en
  • Microsoft Windows Serveur 2019 Essentials - Licence numérique - Logiciel en téléchargement
    Adapté aux besoins des petites entreprises, Microsoft Windows Server Essentials 2019 est une excellente solution pour les organisations comptant jusqu'à 25 utilisateurs. Cette édition comble le fossé entre les entreprises qui tirent profit des services basés sur le cloud et celles qui ont encore besoin d'un