Sau khi Adobe phát hành bản cập nhật Patch thứ ba đầu tiên cho năm 2020, Microsoft cũng đã công bố các tư vấn bảo mật tháng 1 của mình cảnh báo hàng tỷ người dùng về 49 lỗ hổng mới trong các sản phẩm khác nhau của họ.
Điều đặc biệt về Patch thứ ba mới nhất là một trong những bản cập nhật sửa một lỗ hổng nghiêm trọng trong thành phần mật mã cốt lõi được sử dụng rộng rãi Windows 10, Phiên bản Server 2016 và 2019 đã được Cơ quan An ninh Quốc gia (NSA) của Hoa Kỳ phát hiện và báo cáo cho công ty.
Điều thú vị hơn là đây là lỗ hổng bảo mật đầu tiên trong Windows Hệ điều hành mà NSA đã báo cáo có trách nhiệm với Microsoft, không giống như lỗ hổng SMB Eternalblue mà cơ quan này giữ bí mật trong ít nhất năm năm và sau đó đã bị rò rỉ ra công chúng bởi một nhóm bí ẩn, khiến WannaCry đe dọa vào năm 2017.
CVE-2020-0601: Windows Lỗ hổng giả mạo CryptoAPI
Theo một lời khuyên được phát hành bởi Microsoft, lỗ hổng, được đặt tên là 'NSACrypt'và được theo dõi dưới dạng CVE-2020-0601, nằm trong Crypt32.dll mô-đun có chứa 'Chức năng nhắn tin mã hóa và chứng chỉ' khác nhau được sử dụng bởi Windows API tiền điện tử để xử lý mã hóa và giải mã dữ liệu.
Vấn đề nằm ở cách mô-đun Crypt32.dll xác nhận chứng chỉ Elliptic Curve Cryptography (ECC) hiện là tiêu chuẩn công nghiệp cho mật mã khóa công khai và được sử dụng trong phần lớn các chứng chỉ SSL / TLS.
Trong thông cáo báo chí do NSA xuất bản, cơ quan này giải thích "lỗ hổng xác thực chứng chỉ cho phép kẻ tấn công phá hoại cách thức Windows xác minh niềm tin mật mã và có thể cho phép thực thi mã từ xa. "
Khai thác lỗ hổng cho phép kẻ tấn công lạm dụng xác thực lòng tin giữa:
- Kết nối HTTPS
- Các tập tin và email đã ký
- Mã thực thi đã ký được khởi chạy dưới dạng quy trình chế độ người dùng
Mặc dù các chi tiết kỹ thuật của lỗ hổng vẫn chưa có sẵn cho công chúng, Microsoft xác nhận lỗ hổng này, nếu khai thác thành công, có thể cho phép kẻ tấn công giả mạo chữ ký số trên phần mềm, lừa hệ điều hành cài đặt phần mềm độc hại trong khi mạo danh danh tính của bất kỳ phần mềm hợp pháp nào Kiến thức của người dùng.
"Một lỗ hổng giả mạo tồn tại theo cách Windows CryptoAPI (Crypt32.dll) xác nhận các chứng chỉ Elliptic Curve Cryptography (ECC), "lời khuyên của microsoft nói.
"Kẻ tấn công có thể khai thác lỗ hổng bằng cách sử dụng chứng chỉ ký mã giả mạo để ký một mã thực thi độc hại, làm cho nó xuất hiện tệp từ một nguồn hợp pháp, đáng tin cậy. Người dùng sẽ không có cách nào biết tệp đó là độc hại vì chữ ký số sẽ xuất hiện từ một nhà cung cấp đáng tin cậy. "
Bên cạnh đó, lỗ hổng trong CryptoAPI cũng có thể giúp những kẻ tấn công trung gian từ xa dễ dàng mạo danh các trang web hoặc giải mã thông tin bí mật về kết nối của người dùng với phần mềm bị ảnh hưởng.
"Lỗ hổng này được phân loại quan trọng và chúng tôi chưa thấy nó được sử dụng trong các cuộc tấn công hoạt động", microsoft nói trong một bài đăng trên blog riêng biệt.
"Lỗ hổng này là một ví dụ về sự hợp tác của chúng tôi với cộng đồng nghiên cứu bảo mật nơi lỗ hổng được tiết lộ riêng tư và một bản cập nhật được phát hành để đảm bảo khách hàng không gặp rủi ro."
"Hậu quả của việc không vá lỗ hổng là nghiêm trọng và phổ biến. Các công cụ khai thác từ xa có thể sẽ được thực hiện nhanh chóng và có sẵn rộng rãi", NSA nói.
Ngoài ra Windows Lỗ hổng giả mạo CryptoAPI được đánh giá là 'quan trọng' về mức độ nghiêm trọng, Microsoft cũng đã vá 48 lỗ hổng khác, 8 trong đó quan trọng và nghỉ ngơi tất cả 40 đều quan trọng.
Không có giảm nhẹ hoặc giải pháp cho lỗ hổng này, vì vậy bạn rất nên cài đặt các bản cập nhật phần mềm mới nhất bằng cách truy cập vào Windows Cài đặt → Cập nhật & Bảo mật → Windows Cập nhật → nhấp vào 'Kiểm tra cập nhật trên PC của bạn.'
Các lỗ hổng RCE quan trọng khác trong Windows
Hai trong số các vấn đề quan trọng ảnh hưởng đến Windows Remote Desktop Gateway (RD Gateway), được theo dõi là CVE-2020-0609 và CVE-2020-0610, có thể bị những kẻ tấn công không được xác thực khai thác để thực thi mã độc trên các hệ thống được nhắm mục tiêu chỉ bằng cách gửi yêu cầu được chế tạo đặc biệt thông qua RDP.
"Lỗ hổng này là xác thực trước và không yêu cầu tương tác người dùng. Kẻ tấn công khai thác thành công lỗ hổng này có thể thực thi mã tùy ý trên hệ thống đích", lời khuyên nói.
Một vấn đề nghiêm trọng trong Remote Desktop Client, được theo dõi là CVE-2020-0611, có thể dẫn đến một cuộc tấn công RDP ngược trong đó máy chủ độc hại có thể thực thi mã tùy ý trên máy tính của máy khách đang kết nối.
"Để khai thác lỗ hổng này, kẻ tấn công sẽ cần phải có quyền kiểm soát máy chủ và sau đó thuyết phục người dùng kết nối với nó," lời khuyên nói.
"Kẻ tấn công cũng có thể thỏa hiệp một máy chủ hợp pháp, lưu trữ mã độc trên đó và chờ người dùng kết nối."
May mắn thay, không có lỗ hổng nào được Microsoft giải quyết trong tháng này được tiết lộ công khai hoặc bị phát hiện khai thác ngoài tự nhiên.
