Microsoft geeft Windows CryptoAPI / CVE-2020-0601 Patch uit

In de eerste Patch Tuesday van 2020 heeft Microsoft een nieuwe patch uitgebracht voor een ernstige Windows-kwetsbaarheid, CVE-2020-0601, oftewel de Windows CryptoAPI Spoofing Vulnerability. De kwetsbaarheid heeft ernstige gevolgen voor machines met 32- of 64-bits Windows 10-besturingssystemen, inclusief Windows Server-versies 2016 en 2019. Laten we eens onderzoeken hoe en waarom de patch belangrijk is voor alle organisaties om in acht te nemen.

"Er bestaat een spoofing-kwetsbaarheid in de manier waarop Windows CryptoAPI (Crypt32.dll) Elliptic Curve Cryptography (ECC)-certificaten valideert," aldus de verklaring van Microsoft. "Een aanvaller kan de kwetsbaarheid misbruiken door een vervalst codeondertekeningscertificaat te gebruiken om een kwaadaardig uitvoerbaar bestand te ondertekenen, waardoor het lijkt alsof het bestand van een vertrouwde, legitieme bron afkomstig is. De gebruiker zou op geen enkele manier kunnen weten dat het bestand kwaadaardig was, omdat de digitale handtekening van een betrouwbare leverancier afkomstig lijkt te zijn. Een succesvol misbruik zou de aanvaller ook in staat kunnen stellen om man-in-the-middle aanvallen uit te voeren en vertrouwelijke informatie te ontcijferen op gebruikersverbindingen met de getroffen software."

Het Amerikaanse National Security Agency (NSA) kreeg voor het eerst de eer de kwetsbaarheid te hebben ontdekt.

Experts zeggen dat deze kwetsbaarheid verstrekkende veiligheidsimplicaties kan hebben voor belangrijke Windows functies zoals desktop en server authenticatie, bescherming van gevoelige gegevens beheerd door Microsoft's Internet Explorer/Edge browsers, en de veelheid aan applicaties en tools van derden die verbonden zijn met Windows. Brian Krebs van KrebsOnSecurity.com, merkt op dat een fout in crypt32.dll ook kan worden misbruikt om de digitale handtekening van een specifiek stuk software te vervalsen. Een dergelijke zwakte kan door aanvallers worden misbruikt om malware te laten lijken op een goedaardig programma dat werd geproduceerd en ondertekend door een legitiem softwarebedrijf.

"Hoewel er geen exploits zijn gevonden van de kwetsbaarheid in het wild, is dit precies het soort kwetsbaarheid waar aanvallers naar verwachting misbruik van zullen maken", aldus Dr. Kiri Addison, Head of Data Science for Threat Intelligence & Overwatch bij Mimecast.

De beveiligingsupdate verhelpt de kwetsbaarheid door ervoor te zorgen dat Windows CryptoAPI ECC-certificaten volledig valideert.

"Deze exploit kan zeer zeker worden gebruikt om code signing certificaten te spoofen om zich voor te doen als vertrouwde en legitieme bronnen," zegt Meni Farjon, Chief Scientist van Advanced Malware Detection bij Mimecast. "Met andere woorden - een aanvaller kan zijn trojans in wezen laten ondertekenen en verifiëren door vertrouwde entiteiten en zo detectie omzeilen door gebruik te maken van deze spoofing-kwetsbaarheid."

De NSA heeft een verklaring uitgegeven waarin gebruikers wordt geadviseerd te updaten, met richtlijnen over hoe risico's kunnen worden beperkt en prioriteit kan worden gegeven aan updates in omgevingen met de getroffen software. Nu het nieuws wijd en zijd bekend is, is het waarschijnlijk dat aanvallers misbruik zullen proberen te maken van gebruikers die de patch nog niet hebben geïmplementeerd, aangezien het enige tijd kan duren voordat patches op bedrijfsniveau algemeen worden uitgevoerd. Bovendien kan het gebruik van een patch van een derde partij of een niet-geaccrediteerde patch gebruikers blootstellen aan grotere bedreigingen van cybercriminelen - het is het beste om direct via de patchinstructies van Microsoft te werken.

Zoals bij elke ernstige kwetsbaarheid zoals deze, dringt Mimecast er bij organisaties en personen op aan om zo snel mogelijk een patch te plaatsen met behulp van officiële updates van Microsoft.