Sau khi Adobe phát hành bản cập nhật Patch thứ ba đầu tiên cho năm 2020, Microsoft cũng đã công bố các tư vấn bảo mật tháng 1 của mình cảnh báo hàng tỷ người dùng về 49 lỗ hổng mới trong các sản phẩm khác nhau của họ.
Điều đặc biệt ở Patch thứ ba mới nhất là một trong những bản cập nhật sửa một lỗ hổng nghiêm trọng trong thành phần mật mã cốt lõi của các phiên bản Windows 10, Server 2016 và 2019 được sử dụng rộng rãi đã được Cơ quan An ninh Quốc gia (NSA) phát hiện và báo cáo cho công ty. của Hoa Kỳ.
Điều thú vị hơn là đây là lỗ hổng bảo mật đầu tiên trong HĐH Windows mà NSA đã báo cáo có trách nhiệm với Microsoft, không giống như lỗ hổng Eternalblue SMB mà cơ quan này giữ bí mật trong ít nhất năm năm và sau đó bị một nhóm bí ẩn rò rỉ ra công chúng. gây ra mối đe dọa WannaCry trong năm 2017.
CVE-2020-0601: Lỗ hổng giả mạo Windows CryptoAPI
Theo một lời khuyên do Microsoft phát hành, lỗ hổng, được đặt tên là ‘NSACrypt’ và được theo dõi là CVE-2020-0601, nằm trong mô-đun Crypt32.dll chứa nhiều ‘Chức năng nhắn tin mã hóa’ được sử dụng bởi API Crypto của Windows để xử lý mã hóa và giải mã dữ liệu.
Vấn đề nằm ở cách mô-đun Crypt32.dll xác nhận các chứng chỉ Elliptic Curve Cryptography (ECC) hiện là tiêu chuẩn công nghiệp cho mật mã khóa công khai và được sử dụng trong phần lớn các chứng chỉ SSL / TLS.
Trong thông cáo báo chí do NSA xuất bản, cơ quan này giải thích “lỗ hổng xác thực chứng chỉ cho phép kẻ tấn công phá hoại cách Windows xác minh niềm tin mật mã và có thể cho phép thực thi mã từ xa”.
Khai thác lỗ hổng cho phép kẻ tấn công lạm dụng xác thực lòng tin giữa:
Kết nối HTTPS
Các tập tin và email đã ký
Mã thực thi đã ký được khởi chạy dưới dạng quy trình chế độ người dùng
Mặc dù các chi tiết kỹ thuật của lỗ hổng vẫn chưa có sẵn cho công chúng, Microsoft xác nhận lỗ hổng này, nếu khai thác thành công, có thể cho phép kẻ tấn công giả mạo chữ ký số trên phần mềm, lừa hệ điều hành cài đặt phần mềm độc hại trong khi mạo danh danh tính của bất kỳ phần mềm hợp pháp nào Kiến thức của người dùng.
“Lỗ hổng giả mạo tồn tại theo cách Windows CryptoAPI (Crypt32.dll) xác nhận chứng chỉ Elliptic Curve Cryptography (ECC)”, lời khuyên của microsoft nói.
“Kẻ tấn công có thể khai thác lỗ hổng bằng cách sử dụng chứng chỉ ký mã giả mạo để ký một mã thực thi độc hại, làm cho nó xuất hiện tệp từ một nguồn hợp pháp, đáng tin cậy. Người dùng sẽ không có cách nào biết tệp đó là độc hại vì chữ ký số sẽ xuất hiện từ một nhà cung cấp đáng tin cậy. ”
Bên cạnh đó, lỗ hổng trong CryptoAPI cũng có thể giúp những kẻ tấn công trung gian từ xa dễ dàng mạo danh các trang web hoặc giải mã thông tin bí mật về kết nối của người dùng với phần mềm bị ảnh hưởng.
“Lỗ hổng này được phân loại quan trọng và chúng tôi chưa thấy nó được sử dụng trong các cuộc tấn công hoạt động”, microsoft nói trong một bài đăng trên blog riêng biệt.
“Lỗ hổng này là một ví dụ về sự hợp tác của chúng tôi với cộng đồng nghiên cứu bảo mật nơi lỗ hổng được tiết lộ riêng tư và một bản cập nhật được phát hành để đảm bảo khách hàng không gặp rủi ro.”
“Hậu quả của việc không vá lỗ hổng là nghiêm trọng và phổ biến. Các công cụ khai thác từ xa có thể sẽ được thực hiện nhanh chóng và có sẵn rộng rãi”, NSA nói.
Bên cạnh lỗ hổng giả mạo Windows CryptoAPI được đánh giá là ‘quan trọng’ về mức độ nghiêm trọng, Microsoft cũng đã vá 48 lỗ hổng khác, 8 trong số đó là nghiêm trọng và tất cả 40 đều quan trọng.
Không có giảm thiểu hoặc giải pháp cho lỗ hổng này, vì vậy bạn nên cài đặt các bản cập nhật phần mềm mới nhất bằng cách vào Cài đặt Windows của bạn → Cập nhật & Bảo mật → Cập nhật Windows → nhấp vào ‘Kiểm tra cập nhật trên PC của bạn.’
Các lỗ hổng RCE quan trọng khác trong Windows
Hai trong số các vấn đề nghiêm trọng ảnh hưởng đến Windows Remote Desktop Gateway (Cổng RD), được theo dõi là CVE-2020-0609 và CVE-2020-0610, có thể bị những kẻ tấn công không được xác thực khai thác để thực thi mã độc trên các hệ thống được nhắm mục tiêu chỉ bằng cách gửi yêu cầu được chế tạo đặc biệt thông qua RDP.
“Lỗ hổng này là xác thực trước và không yêu cầu tương tác người dùng. Kẻ tấn công khai thác thành công lỗ hổng này có thể thực thi mã tùy ý trên hệ thống đích”, lời khuyên nói.
Một vấn đề nghiêm trọng trong Remote Desktop Client, được theo dõi là CVE-2020-0611, có thể dẫn đến một cuộc tấn công RDP ngược trong đó máy chủ độc hại có thể thực thi mã tùy ý trên máy tính của máy khách đang kết nối.
“Để khai thác lỗ hổng này, kẻ tấn công sẽ cần phải có quyền kiểm soát máy chủ và sau đó thuyết phục người dùng kết nối với nó,” lời khuyên nói.
“Kẻ tấn công cũng có thể thỏa hiệp một máy chủ hợp pháp, lưu trữ mã độc trên đó và chờ người dùng kết nối.”
May mắn thay, không có lỗ hổng nào được Microsoft giải quyết trong tháng này được tiết lộ công khai hoặc bị phát hiện khai thác ngoài tự nhiên.
