弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

WindowsのCrypt32.dllを使ったアプリはCVE-2020-0601対応パッチを当てるまで偽の証明書や署名で騙すことが可能だった… update1

【Hagexの呪い】みずほ証券のシステム間障害はJP1の設定ミスが原因とかw。ありえねーw。りそな銀行、セブン銀行、新生銀行…ワンタイムパスワードw。シマンテック発行の証明書が何もかも無効になったのか?

テクノロジー2020年1月15日 / 09:41 / 8時間前更新 マイクロソフト、OSの重要アップデート配布 当局が欠陥指摘 Reuters Staff 1 分で読む
[ワシントン 14日 ロイター] - 米マイクロソフト(MSFT.O)は14日、米国家安全保障局(NSA)に基本ソフト(OS)「ウィンドウズ」の重大な欠陥を指摘されたことを受け、重要なセキュリティーアップデートの配布を始めた。NSA当局者が明らかにした。
マイクロソフトによると、この欠陥により、ウィンドウズの一部バージョンでデータの認証に使われるデジタル証明書をハッカーが偽造できる可能性があり、ウィンドウズのシステムやユーザーに深刻な影響を及ぼす恐れがあるという。
NSAとマイクロソフトは、この欠陥がこれまでに悪用された証拠は見当たらないとしたうえで、ユーザーに対し早急にアップデートを適用するよう促した。
NSAは、過去にもマイクロソフトにソフトの欠陥を指摘したことがあるとしているが、指摘した事実を公にするのは今回が初めて。

NSA's dir. of cybersecurity Anne Neuberger says the critical cryptographic vulnerability resides in Windows 10 and Windows Server 2016, and that the concern about this particular flaw is that it "makes trust vulnerable."

NSA: If enterprise-wide patching of this vuln not possible we recommend prioritize patching systems that perform TLS validation, or host critical infrastructure like domain controllers, DNS servers, VPN servers, etc.

This particular flaw is assigned as CVE-2020-0601. NSA says it exists in Win10 systems from July 2015 onward and Win Server 2016. My read on that is it's "critical" in those OSes, but may be present and less of a concern in older versions of Windows but we'll know more soon.

Sources say this disclosure from NSA is planned to be the first of many as part of a new initiative at NSA dubbed "Turn a New Leaf," aimed at making more of the agency's vulnerability research available to major software vendors and ultimately to the public.

The NSA's Neuberger said this wasn't the first vulnerability the agency has reported to Microsoft, but it was the first one for which they accepted credit/attribution when MS asked. briankrebs

Microsoft has released an advisory for this vulnerability in Win10, Server 2016 and '19. It rated this as a "spoofing" flaw that is "important" in severity, but puts exploitability rating at 1, it's second most severe, i.e. "exploitation more likely." https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

NSA's advisory is here: https://twitter.com/NSAGov/status/1217152211056238593 CERT/CC's take: https://kb.cert.org/vuls/id/849224/

つまり、このパッチを当てるまで、偽の証明書や署名を有効にする方法が存在したことに。TLS(SSL)でも間男攻撃が可能で通信内容の盗聴と改ざんが可能だったことになる…w

伝家の宝刀DNSスプーフィングと組み合わせるとWindowsアップデートを偽装したウィルス感染が可能だったのかもw

投稿されたコメント:

コメント
コメントは無効になっています。