Patch Tuesday - Važno bezbednosno ažuriranje!
Redovno ažuriranje je uvek važno, a ovoga puta i više nego inače!
Američka bezbednosna agencija (NSA) izdala je upozorenje Windows korisnicima da u najkraćem roku primene patch za ranjivost CVE-2020-0601. Ranjivost je nazvana NSACrypt. U okviru januarskog izdanja bezbednosnih ažuriranja, Microsoft rešava 49 ranjivosti, od kojih je jedna izuzetno opasna i nalazi se u bitnoj kriptografskoj komponenti koju koriste Windows 10, Windows Server 2016 i izdanja iz 2019.
NSACrypt napadači mogu da iskoriste da kompromituju poverenje PKI (infrastrukture javnih ključeva). PKI je skup mehanizama koji imaju široku primenu i na koje se oslanjaju pojedinačni, poslovni i svi drugi korisnici. Ranjivost omogućava napadaču da kreira PKI sertifikate koji će izgledati kao legitimni, što znači da može da „preuzme“ identitet pojedinaca, sajtova, softverskih kompanija, provajdera različitih usluga itd. Lažnim sertifikatima napadač pod određenim uslovima može da dobije poverenje korisnika i servisa na ranjivim sistemima i to iskoristi za dalje kompromitovanje. Recimo, može da izvede Man-in-the-middle napad ili pošalje korisniku maliciozni kod (fajl) koji je potpisan sertifikatom od poverenja, što znači da korisnik nema načina da prepozna pretnju.
Ranjivost se nalazi u Crypt32.dll modulu koji obavlja nekoliko funkcija vezanih za sertifikate i kriptografiju, a koristi ga Windows Crypto API za enkripciju i dekripciju podataka. Konkretno, ranjivost utiče na validaciju ECC sertifikata koji su trenutno industrijski standard za PKI i koriste se u većini SSL/TLS sertifikata. Eksploatisanje ranjivosti omogućava zloupotrebu poverenja između:
-
HTTPS konekcija.
-
Potpisanih fajlova i imejlova.
-
Potpisanih izvršnih kodova pokrenutih kao user-mode procesi.
Ostale kritične ranjivosti
Dve kritične ranjivosti odnose se na Windows Remote Desktop Gateway - CVE-2020-0609 i CVE-2020-0610 i mogu neautentifikovanom napadaču dozvoliti da izvrši maliciozni kod slanjem specijalnog zahteva preko RDP-a. Još jedna kritična ranjivost, CVE-2020-0611, odnosi se na Remote Desktop Client i može dovesti do obrnutog RDP napada gde maliciozni server može izvršiti napad na klijent računar.