В рамках «вторника исправлений» Microsoft исправила уязвимость, о которой ей стало известно от АНБ США.
Во вторник, 14 января, компания Microsoft выпустила первые в 2020 году плановые обновления безопасности для своих продуктов. В общей сложности было исправлено 49 уязвимостей, в том числе восемь критических.
В частности, Microsoft выпустила патч для уязвимости в CryptoAPI (криптографической библиотеке по умолчанию crypt32.dll), о которой сообщалось накануне. Уязвимость (CVE-2020-0601) была обнаружена специалистами Агентства национальной безопасности США, сообщившими о ней Microsoft.
Согласно уведомлению безопасности, проблема связана с тем, как crypt32.dll устанавливает подлинность сертификатов с эллиптическими кривыми. С ее помощью злоумышленник может подписать вредоносный исполняемый файл таким образом, чтобы система приняла его за легитимный файл из надежного источника.
Уязвимость также может использоваться для подделки цифровых сертификатов, применяемых для зашифрованной связи. Проэксплуатировав ее, злоумышленник может осуществить атаку «человек посередине» и расшифровать конфиденциальную информацию.
Как сообщает Microsoft, уязвимость затрагивает Windows 10, Windows Server 2019 и Windows Server 2016. Ни производителю, ни АНБ не известны случаи ее эксплуатации в реальных атаках до выхода патча.
Для АНБ не характерно сообщать производителям ПО об обнаруженных уязвимостях в их продуктах. Зачастую агентство предпочитает оставлять их при себе и использовать в своих операциях. CVE-2020-0601 является первой уязвимостью, о которой Microsoft стало известно от агентства.
По словам руководителя управления кибербезопасности АНБ Анны Нойбергер (Anne Neuberger), агентство изменило свой подход к кибербезопасности и впредь будет сообщать об обнаруженных уязвимостях.
