Уязвимость спуфинга в Windows CryptoAPI из-за некорректной верификации ECC-сертификатов в Crypt32.dll
Описание
Злоумышленник может использовать уязвимость в Windows CryptoAPI для подделки сертификата кода, который подписывает вредоносный исполняемый файл, создавая видимость достоверного файла из доверенного источника. Пользователь не сможет определить, является ли файл вредоносным, так как цифровая подпись будет казаться предоставленной надежным провайдером. Успешная эксплуатация уязвимости также позволяет злоумышленнику осуществлять атаки типа "человек посередине" и расшифровывать конфиденциальную информацию в пользовательских соединениях с уязвимым программным обеспечением.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленник использует поддельный сертификат, подписывая им вредоносный файл, и вводит пользователя в заблуждение о его происхождении.
Решение
Обновление безопасности устраняет уязвимость, обеспечивая полную верификацию ECC сертификатов в Windows CryptoAPI.
Часто задаваемые вопросы (FAQ)
Как я могу определить, пытается ли кто-то использовать поддельный сертификат для эксплуатации этой уязвимости?
- После установки соответствующего обновления Windows система будет генерировать событие с ID 1 в Просмотре событий под "Журналы Windows/Приложение" после каждой перезагрузки, если будет обнаружена попытка эксплуатации известной уязвимости ([CVE-2020-0601] верификация сертификата).
- Это событие создается процессом пользовательского режима.
| Тип | Значение |
|---|---|
| Журнал событий | Windows Logs/Application |
| Источник событий | Audit-CVE |
| ID события | 1 |
| Центр сертификации | Microsoft ECC Product Root Certificate Authority 2018 |
| SHA1 | Данные, относящиеся к конкретному сертификату |
| Параметры | Данные, относящиеся к конкретному сертификату |
| Другие параметры | Данные, относящиеся к конкретному сертификату |
Есть ли дополнительная информация от Microsoft о CVE-2020-0601? Да, более подробная информация представлена в блоге от 14 января 2020 года.
Эта уязвимость затрагивает версии Windows старше Windows 10? Нет, уязвимость затрагивает только версии Windows 10. В первоначальном релизе Windows 10 (Сборка 1507, TH1) Microsoft добавила поддержку параметров ECC для настройки кривых ECC. До этого Windows поддерживала только именованные кривые ECC. Код, добавивший поддержку параметров ECC, также привел к уязвимости проверки сертификатов. Это не было регрессией, и версии Windows, которые не поддерживают параметры ECC для настройки кривых ECC (Server 2008, Windows 7, Windows 8.1 и серверы) не пострадали.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 10 for 32-bit Systems | ||
| Windows 10 for x64-based Systems | ||
| Windows Server 2016 | ||
| Windows 10 Version 1607 for 32-bit Systems | ||
| Windows 10 Version 1607 for x64-based Systems | ||
| Windows Server 2016 (Server Core installation) | ||
| Windows 10 Version 1709 for 32-bit Systems | ||
| Windows 10 Version 1709 for x64-based Systems | ||
| Windows 10 Version 1803 for 32-bit Systems | ||
| Windows 10 Version 1803 for x64-based Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
8.1 High
CVSS3
Связанные уязвимости
A spoofing vulnerability exists in the way Windows CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates.An attacker could exploit the vulnerability by using a spoofed code-signing certificate to sign a malicious executable, making it appear the file was from a trusted, legitimate source, aka 'Windows CryptoAPI Spoofing Vulnerability'.
A spoofing vulnerability exists in the way Windows CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates.An attacker could exploit the vulnerability by using a spoofed code-signing certificate to sign a malicious executable, making it appear the file was from a trusted, legitimate source, aka 'Windows CryptoAPI Spoofing Vulnerability'.
Уязвимость интерфейса программирования приложений Windows CryptoAPI (Crypt32.dll) операционных систем Windows, позволяющая нарушителю обойти существующие ограничения безопасности и реализовать атаку типа «человек посередине»
EPSS
8.1 High
CVSS3