www.belgium.be Logo of the federal government

Spoofing Vulnerability in the Windows CryptoAPI

Referentie: 
Advisory #2020-002
Versie: 
1.0
Geïmpacteerde software: 
Windows CryptoAPI in Windows 10 tot en met build 1809
Type: 
Spoofing Vulnerability
CVE/CVSS: 

CVE-2020-0601

Bronnen

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601 (1)

https://arstechnica.com/information-technology/2020/01/researcher-develops-working-exploit-for-critical-windows-10-vulnerability/ (2)

https://www.pandasecurity.com/mediacenter/news/critical-windows-10-vulnerability/

Risico’s

Een aanvaller kan een uitvoerbaar bestand signeren en het er doen uitzien als een bestand dat door een legitieme en vertrouwde source uitgegeven is.

Een aanvaller kan deze kwetsbaarheid ook gebruiken om TLS certificaat validatie te omzeilen op websites die bekeken worden op Google Chrome & browsers gebaseerd op Chromium (Opera, Brave, …), Edge en Internet Explorer.
Er is geen indicatie dat Firefox kwetsbaar is.

Beschrijving

De manier waarop Windows CryptoAPI Elliptic Curve Cryptography (ECC) Certificaten valideert geeft aanvallers de mogelijkheid om hun eigen certificaten te genereren die door CryptoAPI lijken ondertekend te zijn door de echte uitgever. Deze certificaten kunnen zowel gebruikt worden om binaries te ondertekenen, als om Man-in-the-Middle (MitM) aanvallen uit te voeren op software die van de Windows CryptoAPI gebruik maakt.

De kwetsbaarheid is ontstaan doordat de API niet alle eigenschappen van het root certificaat controleert. Dit laat aanvallers toe om hun eigen root certificaat te maken met dezelfde eigenschappen van het legitieme certificaat, buiten deze ene parameter. U kan meer gedetailleerde informatie vinden in de bronnen(2).

Er bestaan reeds enkele proof-of-concept exploits voor deze kwetsbaarheid.

Aanbevolen acties

Microsoft heeft een kritieke update uitgebracht voor deze kwetsbaarheid. CERT.be raadt aan om deze updates zo snel mogelijk uit te voeren.
Deze update kan gedownload worden op de Microsoft Website(1) of kan direct geïnstalleerd worden vanuit de Windows Update center.