Подробности критической уязвимости Windows, обнаруженной АНБ

Вчера мы сообщали, что в Windows была обнаружена серьезная уязвимость, которая подорвала криптографическую основу ОС.

Сегодня Microsoft выпустила патч для уязвимости, а также подробную информацию о проблеме.

«Широкая криптографическая уязвимость» была обнаружена Агентством национальной безопасности США (АНБ), что подтверждает директор по кибербезопасности АНБ Энн Нойбергер.

Microsoft подтвердила, что CVE-2020-0601 включает в себя Windows CryptoAPI и говорит, что «существует уязвимость, связанная с подделкой в ​​том, что Windows CryptoAPI (Crypt32.dll) проверяет сертификаты криптографии эллиптической кривой (ECC)», которую можно использовать для «подписи вредоносного исполняемого файла, делая его, похожим на файл из надежного, законного источника ».

Он также будет использоваться в зашифрованной связи, такой как HTTPS, с заявлением Microsoft:

«Успешный эксплойт может также позволить злоумышленнику проводить атаки «человек посередине» и расшифровывать конфиденциальную информацию о пользовательских подключениях к уязвимому программному обеспечению».

К счастью, эта уязвимость затрагивает только версии ОС Windows 10, Windows Server 2019 и Windows Server 2016, и она не использовалась в полной мере.

Несмотря на это, потенциальное влияние уязвимости было настолько сильным, что АНБ было вынуждено раскрыть ее Microsoft, вместо того, чтобы использовать ее в своих целях.

Это первое раскрытие, которое Microsoft зачислила в АНБ, но Нойбергер говорит, что это указывает изменение в их отношении к уязвимостям, и теперь агентство больше не стремится их скрывать. АНБ также предупредило инфраструктурные компании об этой уязвимости и о том, что патч будет выпущен, и планирует выпустить свое собственное уведомление о безопасности, содержащее информацию о мерах по снижению риска и о том, как обнаружить уязвимость, также призывая ИТ-персонал ускорить установку сегодняшнего исправления, обновления безопасности.

Агентство по кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (DHS CISA) также сегодня выпустит экстренную директиву, предупреждающую частный сектор США и правительственные организации о необходимости установки последних исправлений ОС Windows.

Комментарии

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь