KrebsOnSecurity: во всех Windows за последние 20 лет найдена критическая уязвимость



    В криптографическом компоненте Windows обнаружена «необычайно серьёзная» уязвимость, которая затрагивает все версии системы за последние 20 лет, начиная с Windows NT 4.0. Об этом сообщил портал KrebsOnSecurity со ссылкой на собственные источники.

    Как утверждает журналист Брайан Кребс, сегодня Microsoft должна выпустить патч, который закроет уязвимость. Компания, по информации Кребса, заранее уведомила о проблеме некоторых особо важных пользователей, в частности, оборонные предприятия в США и другие государственные организации, попросив их при этом подписать документ о неразглашении информации о сути уязвимости до выхода исправления.

    Как указывает KrebsOnSecurity, уязвимость касается модуля crypt32.dll, который отвечает за сертификаты и обмен зашифрованными сообщениями в CryptoAPI. С помощью CryptoAPI разработчики обеспечивают защиту программ для Windows. Критическая уязвимость в этом компоненте, отмечает KrebsOnSecurity, может нарушить работу сразу нескольких важных функций Windows, включая аутентификацию на ПК и серверах на Windows. Также она угрожает безопасности конфиденциальных данных, которые обрабатывают браузеры Microsoft Internet Explorer/Edge, и некоторых сторонних приложений и инструментов.

    Также, как подчёркивает KrebsOnSecurity, найденную уязвимость могут использовать злоумышленники для спуфинга цифровой подписи к ПО, что позволит им выдать вредоносную программу за легитимную, выпущенную и подписанную добросовестным разработчиком.

    В ответ на запрос KrebsOnSecurity компания Microsoft заявила, что она не обсуждает детали обнаруженных уязвимостей до того, как появится обновление. Компания также отказалась подтвердить информацию о том, что некоторые пользователи могли получить обновление раньше других, подчеркнув, что она «не выпускает обновления раньше запланированного срока».

    «В рамках нашей программы проверки обновлений (SUVP) мы выпускаем предварительные версии обновлений, чтобы проверить их совместимость в лабораторных условиях. Участникам этой программы по контракту запрещено применять обновление вне тестовых испытаний», — приводит портал заявление Microsoft.

    Ранее Уилл Дорман, исследователь безопасности, автор нескольких отчётов об уязвимостях для координационного центра CERT (CERT-CC), опубликовал в твиттере сообщение, в котором рекомендовал обратить особое внимание на грядущее обновление Windows, но не пояснил, по какой причине. Сегодня, по информации Брайана Кребса, в американскую прессу поступила информация о том, что уязвимость обнаружили специалисты Агентства национальной безопасности США. По словам представителей АНБ, проблема затрагивает Windows 10 и Windows Server 2016.

    Тем временем, сегодня Microsoft официально прекратила поддержку Windows 7. Пользователи могут работать на этой ОС, однако компания перестанет выпускать обновления для неё. Таким образом, система не получит патч и для найденной уязвимости.

    «Без обновлений программного обеспечения и системы безопасности вы подвергаетесь повышенной угрозе вирусов и вредоносного ПО», — предупредила Microsoft.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 11

      +5
      Мне всё же кажется, что Microsoft всё же сделает исключение и выпустит патч для 7-ки для всех желающих.
        +8

        Вы думаете, что объявление о критической уязвимости сразу после окончания поддержки — случайное совпадение?) При том что об уязвимости они в курсе минимум с ноября.

          –1
          Надо же закрепить в сознании купивших платную поддерку — что они не зря потратили деньги)))))
          +2
          Мне всё же кажется, что Microsoft всё же сделает исключение и выпустит патч для 7-ки
          И для NT заодно.
            –1
            Вероятнее всего — да, и вместе с ним максимально назойливое уведомление о том что поддержка кончилась.
            Собственно платная поддержка семерки у ms еще несколько лет будет — так что у себя внутри они однозначно будут делать патчи, просто не всем они достанутся… хотя вроде бы уже магическое заклинание гуляет по интернетам…
            +1
            АНБ обнаружило проблему в криптографии Windows, которая мешает ей следить за всеми?
              +8

              Это хрень а не уязвимость. А для слежки у АНБ есть нормальные полнофункциональные хорошо замаскированные бэкдоры

              +3
              Тем временем, сегодня Microsoft официально прекратила поддержку Windows 7. Пользователи могут работать на этой ОС, однако компания перестанет выпускать обновления для неё. Таким образом, система не получит патч и для найденной уязвимости.


              Только вот еще два года патчи будут.
              support.microsoft.com/en-us/help/4527878/faq-about-extended-security-updates-for-windows-7

              ищите по BypassESU

              Мне всегда нравился этот журналисткий хайп.
              Еще надо внимательно почитать будет, что там за проблема
                +2
                Больше хайпа!
                И не выиграл, а проиграл, и не в лотерею, а в преферанс...
                Эллиптические кривые в Windows NT, да.
                Эксплуатации подвержены только системы не старше Windows 10 и WinServer 2016. Суть окончания поддержки Windows 7/2008 именно сегодня (в patch Tuesday) в том, чтобы выпустить последнее публично (не в Azure и не по платной подписке) доступное обновление, так что в любом случае вышел бы сегодня patch на Windows 7/2k8, если бы они были подвержены уязвимости.
                  +2

                  Переводчик в целом прав, ведь в источнике https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/ явно написано уязвимость в компоненте "known as crypt32.dll", который появился 20 лет назад "This component was introduced into Windows more than 20 years ago — back in Windows NT 4.0". А обновлять перевод переводчику не нужно. Вот обновление материала Kerbs:


                  Update, 1:47 p.m. ET: Microsoft has released updates for this flaw (CVE-2020-0601). Their advisory is here. The NSA’s writeup (PDF) includes quite a bit more detail, as does the advisory from CERT.

                  Майкрософт выпустил обновления для Windows 10 (начиная примерно с 1607), Server 2019 и Server 2016: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601 раздел "Security Updates"; "A spoofing vulnerability exists in the way Windows CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates."


                  В https://kb.cert.org/vuls/id/849224/ сообщают, что версии 8.1 и 2012 и более ранние не подвержены, т.к. не поддерживают ECC сертификаты с явно задаваемыми (некорректными) параметрами кривых:


                  Microsoft Windows versions that support certificates with ECC keys that specify parameters are affected. This includes Windows 10 as well as Windows Server 2016 and 2019. Windows 8.1 and prior, as well as the Server 2012 R2 and prior counterparts, do not support ECC keys with parameters

                  Более подробное письмо с инструкциями по сравнению параметров кривых: https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF


                  Certificates with named elliptic curves, manifested by explicit curve OID values,can be ruled benign. For example, the curve OID value for standard curve nistP384 is 1.3.132.0.34. Certificates with explicitly-defined parameters (e.g., prime, a, b, base, order, and cofactor) which fully-match those of a standard curve can similarly be ruled benign.… Certificates containing explicitly-defined elliptic curve parameters which only partially match a standard curve are suspicious, especially if they include the public key for a trusted certificate, and may represent bona fide exploitation attempts.

                  Форумные эксперты и их предположения: https://news.ycombinator.com/item?id=22047573; вероятно ошибка при обработке ECParameters+specifiedCurve (https://news.ycombinator.com/item?id=22048619)

                    0
                    а еще оказывается, что в патчах от 13 — уязвимость убранна.
                    Во это поворот!

                    www.securitylab.ru/news/504057.php

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое