De eerste Patch Tuesday van het jaar is meteen een belangrijke, Microsoft dicht een kwetsbaarheid in Windows, die door de NSA werd gerapporteerd. Het is de eerst keer dat de Amerikaanse veiligheidsdienst zo’n ontdekking publiek maakt. Doorgaans houdt het de lekken die het vindt geheim voor eigen gebruik.
De kwetsbaarheid (CVE-2020-0601) is aanwezig in alle versies van Windows 10, Windows Server 2016, Windows Server 2019, en Windows Server versie 1803, 1903 en 1909. De enige manier om er tegen te beschermen, is de patch installeren. Er zijn geen andere workarounds of mitigaties beschikbaar.
Het gaat om een bug in de Windows CryptoAPI, die toelaat om beveiligingscertificaten te spoofen. Dat ondermijnt volledig het systeem van cryptografische controle (Public Key Infrastructure), dat Windows gebruikt om te valideren of een bestand of toepassing van een vertrouwde bron afkomstig is.
Vals vertrouwen
Een succesvolle exploit stelt een aanvaller in staat om malware als legitieme software op een systeem aan te bieden, met een vervalst certificaat. Daarnaast laat het ook toe om via een man-in-the-middle-aanval vertrouwelijke informatie, die wordt uitgewisseld tussen de gebruiker en de getroffen software, te decoderen.
“Door het beveiligingslek kan een aanvaller PKI-certificaten maken om vertrouwde identificaties te vervalsen, zoals personen, websites, softwarebedrijven, serviceproviders of anderen. Met behulp van een vervalst certificaat kan de aanvaller (onder bepaalde voorwaarden) het vertrouwen winnen van gebruikers of services op kwetsbare systemen en dat vertrouwen misbruiken om deze te compromitteren”, aldus de NSA in een verklaring.
Het is de Amerikaanse veiligheidsdienst die de kwetsbaarheid ontdekte en aan Microsoft heeft gerapporteerd. Dat op zich is al uitzonderlijk. Doorgaans houdt de NSA de lekken die het ontdekt voor zich, en worden ze ingezet in het eigen voordeel voor spionage. Het is de eerste keer dat de NSA door Microsoft wordt gecrediteerd voor het melden van een bug.
Goede voornemens
Security-expert Brian Krebs stelt op Twitter dat deze openbaarmaking door de NSA de eerste van velen is. De NSA start volgens zijn bronnen het nieuwe jaar met goede voornemens om meer van zijn kwetsbaarheidsonderzoek beschikbaar te maken voor softwareleveranciers en uiteindelijk het grote publiek.
Krebs citeert verder nog Anne Neuberger, director cybersecurity bij de NSA, die beweert dat het niet de eerste keer is dat de NSA een kwetsbaarheid aan Microsoft rapporteert, maar wel de eerste keer dat het accepteert omn daar publieke erkenning voor te krijgen.
Voorlopig werd nog geen actief misbruik van de kwetsbaarheid vastgesteld, maar zowel Microsoft als de NSA hameren erop dat patchen de enige oplossing is en dat best zo snel mogelijk gebeurt.