Serveur d'impression

La menace de sécurité cryptographique alarmante de Windows 10 «Curveball» vient de devenir très réelle – Serveur d’impression

Le 11 mars 2020 - 5 minutes de lecture

Exploitez le code de la vulnérabilité de cryptage "curveball" de Windows 10 dont le gouvernement américain a mis en garde a maintenant fait surface. C'est vraiment une mauvaise nouvelle pour 900 millions d'utilisateurs.

La vulnérabilité Windows 10 CryptoAPI signalée par la NSA est nommée "curveball"

Trois jours, c'est long pour la cybersécurité. Il y a seulement trois jours, j'ai écrit un article intitulé "Nouvel avertissement de sécurité" Extraordinairement sérieux "pour 900 millions d'utilisateurs," Windows 10 ", qui prédit que la mise à jour mensuelle de Microsoft Patch Tuesday révélerait l'une des vulnérabilités les plus graves pour frapper le système d'exploitation pour certains. temps. Dans les moins de 72 heures qui ont suivi, Anne Neuberger, directrice de la direction de la cybersécurité de la National Security Agency (NSA), a confirmé que la NSA avait elle-même signalé la faille qui "rend la confiance vulnérable". Dans les heures qui ont suivi cette annonce, Microsoft a publié les mises à jour de Patch Tuesday et a dévoilé CVE-2020-0601, une vulnérabilité d'usurpation de Windows CryptoAPI que certains appellent maintenant "curveball".

La CISA publie une directive d'urgence, mais certains professionnels de la sécurité ne sont toujours pas impressionnés

Les implications ont été jugées suffisamment sérieuses pour persuader la US Cybersecurity and Infrastructure Security Agency (CISA) de publier une directive d'urgence recommandant la correction immédiate de Windows 10. Ensuite, l'inévitable contrecoup a commencé, certains professionnels de la sécurité ayant recours aux médias sociaux pour écarter la vulnérabilité car étant pas tout ça. En effet, j'ai eu des conversations avec des membres très respectés de la communauté infosec qui m'ont averti de ne pas laisser la NSA se livrer à cet exercice d'hyperbole; que la vulnérabilité était loin d'être critique par nature et serait difficile à exploiter. L'image globale qui était en train d'être peinte peut être résumée comme "rien à voir ici; veuillez avancer."

Le code d'exploitation de preuve de concept de Curveball a maintenant fait surface

Il y a cependant déjà beaucoup à voir. En rassemblant les détails techniques connus divulgués par Microsoft, la Computer Emergency Response Team (CERT) et la NSA, les chercheurs ont commencé à produire des exploits de preuve de concept (POC). Saleem Rashid a pu exploiter la vulnérabilité curveball à Rickroll sur les sites NSA.gov et Github pour lire la vidéo de Rick Astley chantant Never Gonna Give You Up. Saleem n'a pas publié son code d'exploit, mais il n'a pas fallu longtemps pour que davantage d'exploits POC apparaissent en ligne, néanmoins. Les chercheurs de Kudelski Security, ayant déterminé qu '"il pourrait être possible de créer des certificats en utilisant la cryptographie à courbe elliptique (ECC) et des paramètres explicites qui ne correspondent pas entièrement à une courbe standard", ont produit un exploit POC et un test pour déterminer si un utilisateur est vulnérable.

Difficile pour les script kiddies mais relativement facile pour les attaquants déterminés

La bonne nouvelle est que Microsoft Windows Defender a été mis à jour pour détecter les certificats tentant d'exploiter la validité de la certification, et Kudelski Security a déclaré que la vulnérabilité de la courbe n'est pas "au risque d'être exploitée par des script kiddies ou des ransomwares". Cependant, Kudelski a également averti que les exploits étaient dans la nature et que les adversaires des États-nations auraient la capacité nécessaire pour "posséder le réseau" et réussir une attaque.

Le scénario d'attaque de MF'er

Oui, cela reste un scénario d'attaque qui nécessite un certain niveau de compétence et de détermination. Mais cela ne signifie pas qu'il peut être ignoré. Les attaques par l'homme du milieu, ou attaque MF'er pour être moins sexiste quant à la terminologie, sont difficiles à réaliser, mais cela ne les empêche pas de se produire. Beaucoup. Non pas qu'une attaque MF'er devrait être en place pour exploiter la courbe; elle pourrait être réalisée par l'ingénierie sociale. Diriger une victime vers un site de certificat racine signé ECC pour vous assurer qu'elle est mise en cache sur le système cible, puis mettre en œuvre une stratégie de clic malveillant pourrait suffire.

Vous savez quoi faire: mettre à jour Windows 10, Windows Server 2016 et Windows Server 2019 dès que possible

Si trois jours, c'est long dans la cybersécurité, une semaine ou deux est une époque absolue pour les acteurs de la menace. Ce n'est qu'une question de temps, et j'imagine pas grand-chose avant de me retrouver à rapporter une attaque de courbe réelle. Alors, écoutez les conseils et assurez-vous que vos systèmes Windows 10, Windows Server 2019 et Windows Server 2016 sont corrigés avec la plus grande urgence.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.