Aanvallers kunnen certificaten spoofen en malware binnensmokkelen.
Een groot gat in Windows 10 en Server 2016/2019 zorgt ervoor dat aanvallers certificaten kunnen spoofen en daarmee belangrijke beveiliging van pc’s kunnen omzeilen. Microsoft, de NSA en beveiligers adviseren met klem op de update die gisteravond uitkwam zo snel mogelijk uit te rollen.
Nota bene de NSA ontdekte een enorme kwetsbaarheid in Windows die zo groot is dat zelfs de dienst het niet onder de pet wilde houden en de kwetsbaarheid onthulde aan Microsoft. Het issue legt Microsofts CryptoAPI, waarmee onder meer certificaten worden gevalideerd, bloot voor aanvallers.
De methode om zelf door Windows als legitieme software aangemaakte malware aan te maken wordt nu al onderzocht door hackers, zo meldt beveiligingsjournalist Brian Krebs, die verwacht dat het slechts enkele dagen of zelfs uren zal duren voor het gat in het wild wordt misbruikt.
Exploit niet moeilijk
Microsoft heeft op de eerste Patch Tuesday van 2020 een update geleverd voor CVE-2020-0601 dat het probleem aanpakt en adviseert klanten dringend om deze zo spoedig mogelijk toe te passen.
De softwaremaker benadrukt in een blogpost dat de kwetsbaarheid voordat de patch verscheen nog niet in het wild is misbruikt, maar beveiligingsdeskundigen zeggen dat een exploit niet moeilijk is en er nu al voorbeelden beginnen binnen te druppelen. Het ligt in de lijn der verwachting dat de kwetsbaarheid nog deze week in het wild misbruikt zal worden. Volgens Microsoft is de update voor dit gat “Belangrijk” en niet “Kritiek”, en de meningen in de securitywereld lopen uiteen of dit daadwerkelijk een serieus probleem is of een door de NSA aangeroerde hype.
Hoe het ook zij, de kwetsbaarheid heeft te maken met module Crypt32.dll die niet alleen versleuteling implementeert voor componenten van het besturingssysteem, maar ook voor digitale certificaten. Je zult deze DLL veel tegenkomen in meldingen van deze kwetsbaarheid, omdat dit het component is dat diverse modules van de API laadt.
API veelgebruikt
De API wordt breed gebruikt. Diverse programma’s, waaronder zowel software van Microsoft zelf als applicaties van derden als games, maken gebruik van de Microsoft CryptoAPI. Het issue zorgt dan ook voor een gat waar breed op geschoten kan worden. Gekoppeld aan het feit dat het een kwetsbaarheid is in de implementatie van cryptografie binnen Windows is het duidelijk dat het repareren hiervan een dringende kwestie is.
Door dit misbruik van de CryptoAPI kunnen aanvallers digitaal getekende malware systemen binnenloodsen. Beveiligingsmiddelen als antivirusprogramma’s kunnen zo worden omzeild en communicatie met betrouwbare portals van bijvoorbeeld bank kan worden gespooft met een certificaat, waardoor een gebruiker denkt met zijn of haar bank te communiceren met een domein die wordt gezien als legitieme HTTP-bron.
Veel infrastructuur kwetsbaar
Diverse applicaties en infrastructuurelementen die zijn gericht op encryptie en beveiliging, en certificaten gebruiken voor validatie, zijn kwetsbaar. Dan heb je het onder meer over VPN-servers, domeincontrollers, servers en proxy’s die verbindingen valideren met TLS, DNS-servers, update-servers en andere kritieke hosts.
Kwetsbare systemen zijn Windows 10, Windows Server 2016 en Windows Server 2019. De NSA raadt met klem aan om de patches direct uit te rollen. “De gevolgen van het niet patchen van deze kwetsbaarheid zijn zwaar en breed verspreid. Tools die het gat op afstand benutten zullen waarschijnlijk snel worden gemaakt en breed beschikbaar komen. Snelle adoptie van de patch is op dit moment de enige bekende manier om schade te voorkomen en zou de primaire focus moeten zijn voor alle netwerkeigenaars, zo staat te lezen in een waarschuwing van de NSA (PDF).
Al een paar dagen geruchten
Dezelfde waarschuwing zou al eerder zijn afgegeven bij overheden en andere belangrijke klanten. Krebs wist namelijk gisteren al te melden dat er een opvallende Windows-patch aankwam, gebaseerd op verhalen dat een noodpatch eerder was aangeboden aan belangrijke klanten. Deze gebruikers moesten een overeenkomst tekenen dat ze hierover niets zouden onthullen tot de officiële release.
Microsoft zelf wilde op dat moment nog niet reageren en kwam met een algemene verklaring dat het beleid is om details van kwetsbaarheden niet in het openbaar te bespreken totdat er een update is verschenen. Een beveiligingsonderzoeker die rapporten maakt over kwetsbaarheden voor CERT-CC tweette maandag al geheimzinnig dat het een erg goed idee was om speciale aandacht te besteden aan Patch Tuesday deze maand.
IT’ers van overheidsdiensten hebben naar verluidt deze week van hogerhand te horen gekregen dat ze de updates met spoed moesten uitrollen. Krebs vermoedde dat er wel degelijk iets aan de hand was toen hij een uitnodiging kreeg voor een conference call met media van de NSA over een beveiligingsissue, die ook op Patch Tuesday plaatsvond, en publiceerde daarom gisteren al een waarschuwing dat er iets groots op til was.
Bron: computerworld.nl