Vulnérabilité de type spoofing dans la CryptoAPI de Windows
CVE-2020-0601
Sources
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601 (1)
https://www.pandasecurity.com/mediacenter/news/critical-windows-10-vulnerability/
Risques
Un acteur malveillant peut signer un exécutable et faire croire qu'il a été publié par une source fiable et légitime.
Il peut également contourner la validation des certificats TLS sur les sites Web accessibles avec les navigateurs Google Chrome et Chromium (Opera, Brave, ...), Edge et Internet Explorer. Rien n'indique que Firefox et ses navigateurs dérivés soient affectés.
Description
La façon de valider les certificats ECC (Elliptic Curve Cryptography) de la Windows CryptoAPI pourrait permettre à un acteur malveillant de fabriquer un certificat qui semblerait être signé par une source fiable. Ce certificat pourrait ensuite être utilisé pour signer un exécutable ou pour effectuer une attaque de type Man-in-the-Middle (MitM) sur un logiciel utilisant cette API.
Le problème existe parce que l'API ne vérifie pas tous les paramètres du certificat racine. Cela pourrait permettre à un acteur malveillant de créer son propre certificat racine avec les mêmes paramètres, sauf un. Consultez la source(2) pour une description détaillée.
Il existe déjà plusieurs preuves de concept pour cette vulnérabilité.
Actions recommandées
Microsoft a publié un correctif d'urgence pour cette vulnérabilité. Le CERT.be recommande d'appliquer ce correctif dès que possible. Le correctif peut être téléchargé depuis le site web de Microsoft(1) ou peut être installé directement depuis le Centre de mises à jour de Windows.