Serveur d'impression

NSA: Microsoft publie un correctif pour corriger la dernière vulnérabilité de Windows 10 – Serveur d’impression

Le 26 février 2020 - 9 minutes de lecture

Sommaire

La NSA révèle une faille de sécurité Windows qui laisse plus de 900 millions d'appareils vulnérables aux certificats numériques usurpés

La National Security Agency (NSA) n'est pas exactement connue pour vouloir partager des informations sur les vulnérabilités qu'elle découvre. En fait, ils ont gardé secret le bogue de Microsoft appelé Eternal Blue pendant au moins cinq ans pour l'exploiter dans le cadre de leur espionnage numérique. (Au moins, vous savez, jusqu'à ce qu'il soit finalement découvert et publié par des pirates).

Mais peut-être ont-ils changé d'avis. (Si vous êtes vraiment
croyez-moi, j'ai un pont pour vous vendre.)

La NSA, dans un spectacle de transparence inhabituel, a récemment annoncé un problème majeur de sécurité des infrastructures à clés publiques (PKI) qui existe dans les systèmes d'exploitation Microsoft Windows, ce qui rend plus de 900 millions d'ordinateurs et de serveurs dans le monde vulnérables à l'usurpation de cyberattaques. Cette vulnérabilité est l'une des nombreuses vulnérabilités publiées par Microsoft dans le cadre de ses mises à jour de sécurité de janvier 2020. Peut-être ne voulaient-ils pas répéter le dernier incident. Quelle que soit la raison, nous sommes ravis qu'ils aient décidé de divulguer l'exploit potentiel.

Ce risque de vulnérabilité se résume à une faiblesse de
l’interface de programmation d’applications des systèmes d’exploitation
systèmes. Mais quelle est exactement cette vulnérabilité de Windows 10? Comment cela affecte-t-il
ton organisation? Et que pouvez-vous faire pour y remédier?

Disons-le.

Quelle est la situation avec cette vulnérabilité de Windows 10?

Windows 10 a connu des difficultés ces derniers mois en termes de vulnérabilités. Dans les dernières nouvelles sur la vulnérabilité de Windows 10, la NSA a découvert une vulnérabilité (CVE-2020-0601) qui affecte la fonctionnalité cryptographique des systèmes d'exploitation Microsoft Windows 32 et 64 bits Windows 10 et des versions spécifiques de Windows Server. Fondamentalement, la vulnérabilité existe dans l'interface de programmation d'applications cryptographiques de Windows 10 – également connue sous le nom de CryptoAPI (ou ce que vous connaissez peut-être comme le bon vieux module Crypt32.dll) – et affecte la façon dont elle valide les certificats de cryptographie à courbe elliptique (ECC).

Ce qu'il fait, en un mot, est de permettre aux utilisateurs de créer des sites Web et des logiciels qui se font passer pour des «vraies affaires» grâce à l'utilisation de certificats numériques usurpés. Un excellent exemple de la façon dont cela fonctionne a été créé par un chercheur en sécurité, Saleem Rashid, qui a tweeté des images de NSA.com et Github.com obtenant "Rickrolled". Essentiellement, ce qu'il a fait, c'est que les navigateurs Edge et Chrome ont usurpé les sites Web vérifiés HTTPS.

Bien qu’humoristiques, les attaques simulées de Rashid sont un
démonstration de la gravité de la faille de sécurité. En usurpant un numérique
certificat pour exploiter la faille de sécurité dans CryptoAPI, cela signifie que tout le monde peut
faire semblant d'être n'importe qui – même les autorités officielles.

CryptoAPI est un composant essentiel des systèmes d'exploitation Microsoft Windows. C’est ce qui permet aux développeurs de sécuriser leurs applications logicielles via des solutions cryptographiques. C'est aussi ce qui valide la légitimité des logiciels et des connexions sécurisées à des sites Web grâce à l'utilisation de certificats numériques X.509 (certificats SSL / TLS, certificats de signature de code, certificats de signature d'e-mail, etc.). Donc, fondamentalement, la vulnérabilité est un bogue dans l'appliance du système d'exploitation pour déterminer si les applications logicielles et les e-mails sont sécurisés et si les connexions sécurisées aux sites Web sont légitimes.

Donc, ce que la vulnérabilité fait est de permettre aux acteurs de contourner
le magasin de confiance en utilisant des logiciels malveillants signés par ECC falsifié / usurpé
certificats (cela donne l'impression qu'ils sont signés par un
organisation). Cela signifie que les utilisateurs téléchargeraient sans le savoir des logiciels malveillants ou
logiciel compromis parce que la signature numérique semble provenir d'un
source légitime.

Cette vulnérabilité peut également causer d'autres problèmes, selon l'Agence de cybersécurité et de sécurité des infrastructures (CISA) du ministère de la Sécurité intérieure:

Cela pourrait tromper les utilisateurs ou contrecarrer les méthodes de détection de logiciels malveillants tels que les antivirus. De plus, un certificat conçu de manière malveillante pourrait être émis pour un nom d'hôte qui ne l'a pas autorisé, et un navigateur qui repose sur Windows CryptoAPI n'émettrait pas d'avertissement, permettant à un attaquant de décrypter, modifier ou injecter des données sur les connexions utilisateur sans détection. »

Cela signifie-t-il que l'ECC n'est pas sécurisé?

Non. Cette faille en aucune façon, forme ou forme affecte la
l'intégrité des certificats ECC. Il jette cependant un éclairage négatif sur
Interface de programmation d'applications cryptographiques de Windows en mettant en lumière
sur les lacunes de son processus de validation.

Permettez-moi de répéter: Ceci est une faille concernant Windows
CryptoAPI et n'affecte pas l'intégrité des certificats ECC eux-mêmes.
Si vous êtes l'un des rares à utiliser des certificats ECC (vous savez, puisque RSA est toujours
le plus couramment utilisé qu’ECC), cela n’affecte pas la sécurité de vos certificats.

Le correctif de Microsoft corrige la vulnérabilité de
assurez-vous que Windows CryptoAPI valide entièrement les certificats ECC.

Ce que cette vulnérabilité de Windows 10 signifie pour votre organisation

Fondamentalement, cette faille de sécurité de validation cryptographique
impacte à la fois le cryptage du flux de communication SSL / TLS et Windows
Validation du fichier Authenticode. Acteurs malveillants qui décident d'exploiter le CryptoAPI
la vulnérabilité pourrait l'utiliser pour:

vaincre les connexions réseau de confiance pour mener des attaques d'homme au milieu (MitM) et compromettre les informations confidentielles;
fournir du code exécutable malveillant;
empêcher les navigateurs qui s'appuient sur CryptoAPI de valider des certificats malveillants conçus pour apparaître à partir d'un nom d'hôte non autorisé; et
apparaissent comme des entités légitimes et de confiance (grâce à l'usurpation d'identité) pour inciter les utilisateurs à interagir avec et télécharger du contenu malveillant par e-mail et sites Web de phishing.

Le communiqué de presse de la NSA déclare:

La NSA estime que la vulnérabilité est grave et que les cyber-acteurs sophistiqués comprendront très rapidement la faille sous-jacente et, s'ils sont exploités, rendraient les plateformes susmentionnées comme fondamentalement vulnérables. Les conséquences de ne pas corriger la vulnérabilité sont graves et répandues. Des outils d'exploitation à distance seront probablement rendus rapidement et largement disponibles. L'adoption rapide du correctif est la seule atténuation connue à l'heure actuelle et devrait être l'objectif principal pour tous les propriétaires de réseau. »

Étapes à suivre pour atténuer ce bogue

Vous vous demandez ce que vous devez faire pour atténuer la menace sur votre
réseau et appareils? La NSA a quelques recommandations:

Accéder à Patchin ’ASAP

La NSA recommande d'installer un correctif récemment publié par Microsoft pour les systèmes d'exploitation Windows 10 et Windows Server (versions 2016 et 2019) dès que possible sur tous les systèmes d'extrémité et systèmes. Comme maintenant. Allez-y! En tant que meilleure pratique, vous pouvez également activer les mises à jour automatiques pour vous assurer de ne plus manquer de mises à jour clés à l'avenir.

Selon le Guide de mise à jour de sécurité de Microsoft:

Une fois la mise à jour Windows applicable appliquée, le système générera l'ID d'événement 1 dans l'Observateur d'événements après chaque redémarrage sous Journaux / Application Windows lors d'une tentative d'exploitation d'une vulnérabilité connue ([CVE-2020-0601] validation du certificat) est détectée. "

Chez SSL Store, nous avons déjà déployé le correctif pour nous assurer que tous nos serveurs et appareils d'extrémité sont protégés. (Merci, Ross!) Le déploiement de ces types de mises à jour est quelque chose que vous ne voulez pas attendre, car cela laisse vos systèmes d'exploitation – et tout le reste en conséquence – vulnérables à l'usurpation d'identité et aux attaques de phishing utilisant des certificats numériques usurpés.

Priorisez vos initiatives de correction

Mais que se passe-t-il si vous êtes une grande entreprise qui ne peut pas simplement l'obtenir
fait avec un claquement de doigts? (Oui, nous savons comment vous les grandes entreprises
aiment parfois faire des choses.) Dans ce cas, ils recommandent de prioriser
patcher vos points de terminaison les plus critiques et ceux qui sont les plus exposés à la
l'Internet. Fondamentalement,
patchez votre
systèmes et infrastructures essentiels à la mission, systèmes accessibles sur Internet et
serveurs en réseau en premier.

Mettre en œuvre des mesures de prévention et de détection des réseaux

Pour ceux d'entre vous qui acheminent votre trafic via un proxy
appareils, nous avons de bonnes nouvelles. Pendant que vos points finaux sont corrigés, votre
les périphériques proxy peuvent vous aider à détecter et à isoler les points de terminaison vulnérables. C'est
car vous pouvez utiliser des proxys d'inspection TLS pour valider les certificats SSL / TLS
de tiers et déterminer s'il faut leur faire confiance ou les rejeter.

Vous pouvez également consulter les journaux et l'analyse des paquets pour extraire
des données supplémentaires pour l'analyse et vérifier les propriétés malveillantes ou suspectes.

*** Ceci est un blog syndiqué du Security Bloggers Network de Hashed Out par The SSL Store ™ rédigé par Casey Crane. Lisez l'article d'origine sur: https://www.thesslstore.com/blog/nsa-microsoft-releases-patch-to-fix-latest-windows-10-vulnerability/

Articles relatifs:

Commentaires

Laisser un commentaire

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.