Уязвимость CVE-2020-0601, компрометирующая инфраструктуру открытых ключей ОС Windows

    Обнаруженная уязвимость касается корневой части проверки сертификатов в Windows и делает невозможной проверку легитимности ПО. Это открывает злоумышленникам возможность обхода технологий защиты ОС и части модулей антивирусной защиты. Это многократно повышает риски успешного заражения узлов сети вирусным ПО.



    Стало известно о серьезной уязвимости CVE-2020-0601 в интерфейсе CryptoAPI (crypt32.dll) ОС Windows, позволяющей обойти проверку сертификатов в Windows. Эксплуатация уязвимости значительно усложняет задачу по проверке легитимности ПО и делает возможной реализацию атак Man in the Middle на различные системы, использующие CryptoAPI для построения TLS. В результате злоумышленники смогут обходить встроенные технологии защиты ОС, некоторые компоненты различных антивирусов и получать доступ к зашифрованным данным.

    Windows CryptoAPI – интерфейс программирования, обеспечивающий разработчиков стандартным набором функций для работы с криптопровайдерами операционной системы. Уязвимость связана с ECC-криптографией (Eliptic Curve Cryptography – метод криптографии, основанный на эллиптических кривых над конечными полями) и заключается в некорректной проверке ECC-сертификата функциями, предоставляемыми интерфейсом CryptoAPI. В результате злоумышленник может создать действительный X.509 сертификат, который система будет принимать за доверенный. Полученный сертификат может использоваться для подписи любых исполняемых файлов, а также для перехвата и модификации трафика от TLS-соединений.

    Любое ПО, которое использует для проверки сертификата API функцию CertGetCertificateChain() из CryptoAPI, может некорректно определить надежность данного сертификата.

    Уязвимость получила номер CVE-2020-0601. Согласно информации, предоставленной компанией Microsoft, уязвимости подвержены следующие версии ОС Windows:

    • Windows 10 for 32-bit Systems
    • Windows 10 for x64-based Systems
    • Windows 10 Version 1607 for 32-bit Systems
    • Windows 10 Version 1703 for 32-bit/x64-based Systems
    • Windows 10 Version 1709 for 32-bit/x64-based Systems
    • Windows 10 Version 1709 for ARM64-based Systems
    • Windows 10 Version 1803 for 32-bit/x64-based Systems
    • Windows 10 Version 1803 for ARM64-based Systems
    • Windows 10 Version 1809 for 32-bit/x64-based Systems
    • Windows 10 Version 1809 for ARM64-based Systems
    • Windows 10 Version 1903 for 32-bit/x64-based Systems
    • Windows 10 Version 1903 for ARM64-based Systems
    • Windows 10 Version 1909 for 32-bit/x64-based Systems
    • Windows 10 Version 1909 for ARM64-based Systems
    • Windows Server 2016
    • Windows Server 2016 (Server Core installation)
    • Windows Server 2019
    • Windows Server 2019 (Server Core installation)
    • Windows Server, version 1803 (Server Core Installation)
    • Windows Server, version 1903 (Server Core installation)
    • Windows Server, version 1909 (Server Core installation)

    Несмотря на то, что компания Microsoft не выявила случаев эксплуатации данной уязвимости, вероятность таких попыток после публикации отчета высока.

    Рекомендуем установить необходимые обновления для уязвимых ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры, согласно принятым в компании процедурам управления уязвимостями.
    • +26
    • 11,5k
    • 7
    Ростелеком-Солар
    177,53
    Безопасность по имени Солнце
    Поделиться публикацией

    Комментарии 7

      +4
      Ммм, новые дыры подвезли :)
      Там ниже DNS rebinding в модемах.
      А тут про TLS сертификаты.
      Можно почитать хабр и собрать себе exploit chain :)
        +2
        И это сразу после окончания поддержки семерочки!
          –1
          Представители Microsoft:
          — Ну надо же, какое невероятнейшее совпадение!
            +5
            Специально для вас список подверженных ос выше. Даже 8.1/2012 уже не подвержена.
              0

              В соседнем треде писали что подвержены все аж до NT. А тут видимо список из пресс-релиза какого-нибудь.

                +5

                Это список ОС, получивших исправление из https://nvd.nist.gov/vuln/detail/CVE-2020-0601https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601 раздел "Security Updates"


                В https://kb.cert.org/vuls/id/849224/ сообщают, что версии 8.1 и 2012 и более ранние не подвержены, т.к. не поддерживают ECC сертификаты с явно задаваемыми (некорректными) параметрами кривых:


                Microsoft Windows versions that support certificates with ECC keys that specify parameters are affected. This includes Windows 10 as well as Windows Server 2016 and 2019. Windows 8.1 and prior, as well as the Server 2012 R2 and prior counterparts, do not support ECC keys with parameters

                Более подробное письмо: https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF


                Certificates with named elliptic curves, manifested by explicit curve OID values,can be ruled benign. For example, the curve OID value for standard curve nistP384 is 1.3.132.0.34. Certificates with explicitly-defined parameters (e.g., prime, a, b, base, order, and cofactor) which fully-match those of a standard curve can similarly be ruled benign.… Certificates containing explicitly-defined elliptic curve parameters which only partially match a standard curve are suspicious, especially if they include the public key for a trusted certificate, and may represent bona fide exploitation attempts.

                Форумные эксперты и их предположения: https://news.ycombinator.com/item?id=22047573; вероятно реализация ECParameters+specifiedCurve (https://news.ycombinator.com/item?id=22048619)

                –1

                Вчера же выложили последнее обновление для Windows 7, которое должно закрывать увязывалось в этом компоненте.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое