Okamžitě si aktualizujte Windows 10 a opravte chybu, kterou objevila agentura NSA

14. ledna 2020: Microsoft vydal kritický patch pro své produkty

Společnost Microsoft zveřejnila varování s číslem MS-ISAC 2020-06, ve kterém informuje miliardy uživatelů o 49 nových zranitelnostech v různých produktech společnosti.

To, co je na tomto varování tak zajímavého, je to, že jedna z aktualizací opravuje závažnou chybu v základní šifrovací komponentě systému Windows 10, edice Server 2016 a 2019, kterou objevila a nahlásila Microsoftu americká Národní bezpečnostní agentura (NSA).

Ještě zajímavější je fakt, že toto je první bezpečnostní chyba v operačním systému Windows, kterou NSA odpovědně nahlásila společnosti Microsoft, na rozdíl od chyby Eternalblue SMB, kterou agentura minimálně pět let držela v tajnosti, a která poté záhadně unikla na veřejnost, což mělo v roce 2017 za následek hrozbu WannaCry.

„Tato zranitelnost je jedním z příkladů toho, jak funguje naše spolupráce s komunitou zkoumající kybernetickou bezpečnost. O zranitelnosti jsme byli informováni a poté jsme ihned vydali opravu, aby nedošlo k ohrožení zákazníků,“ uvedla společnost Microsoft.

Zranitelností jsou vysoce ohroženy velké a střední firmy a státní instituce, méně již firmy malé nebo domácnosti.

Kritická zranitelnost umožňující falšování v CryptoAPI ve Windows

Chyba s přezdívkou „NSA šifra“ a identifikátorem CVE-2020-0601 se vyskytuje v šifrovací knihovně Crypt32.dll obsahující různé certifikační funkce pro šifrování a dešifrování dat. Problém totiž spočívá ve způsobu, jakým CryptoAPI ověřuje certifikáty založené na eliptických křivkách (ECC), což je standardní způsob šifrování veřejných klíčů a využívá jej většina SSL/TLS certifikátů.

Úspěšné zneužití zranitelnosti by mohlo vést k tomu, že útočník získá stejná oprávnění v systému jako přihlášený uživatel. V závislosti na oprávněních, která by měl daný uživatel, by poté mohl útočník např. instalovat programy, prohlížet, měnit nebo mazat data, nebo si vytvořit úplně nový účet s plnými uživatelskými právy.

Ačkoli technické detaily chyby ještě nebyly zveřejněny, Microsoft potvrzuje, že se jedná o chybu, která, by mohla útočníkům umožnit zfalšování digitálních podpisů v softwaru a tak obelstít operační systém, aby nainstaloval škodlivý software, zatímco by se vydával za legitimní program – a to vše bez vědomí uživatele.

„Uživatel nemá možnost jak zjistit, že je soubor škodlivý, protože digitální podpis vypadá, že je od důvěryhodného poskytovatele,“ stojí ve varování společnosti Microsoft. Kromě toho může chyba v CryptoAPI ulehčit situaci vzdáleným útočníkům – prostředníkům, aby se vydávali např. za určité webové stránky.

Agentura NSA ve své tiskové zprávě píše, že zranitelnost „může povolit vzdálené spuštění kódu.“ Dále uvádí, že „důsledky toho, že by nebyla tato zranitelnost opravená, by byly závažné a dalekosáhlé.“

„Zranitelnost byla vyhodnocena jako Důležitá a ještě jsme nezaznamenali její zneužití v rámci aktivního útoku,“ píše společnost Microsoft v jiném článku na blogu.

Proveďte aktualizaci Windows

Pro tuto zranitelnost neexistuje žádná možnost, jak ji zmírnit, ani obejít, takže vám velice doporučujeme, abyste si nainstalovali nejnovější aktualizace.

Firmám doporučujeme následující postup:

• Ihned poté, co odpovídajícím způsobem otestujete systémy ohrožené zranitelnostmi, aplikujte příslušné patche nebo opravy zmírňující dopady vydané společností Microsoft.
• Veškeré programy spouštějte pod standardními účty (bez administrátorských oprávnění), aby se snížily následky v případě, že byl útok úspěšný.
• Připomeňte uživatelům, že nemají chodit na nedůvěryhodné webové stránky nebo klikat na odkazy pocházející z neznámých nebo nedůvěryhodných zdrojů.
• Vzdělávejte a informujte uživatele o hrozbách, jež představují hypertextové odkazy obsažené v e-mailech nebo přílohách, zejména ty pocházející z nedůvěryhodných zdrojů.
• Na veškeré služby a systémy aplikujte princip nejnižšího možného oprávnění (Principle of Least Privilege).

Postup pro domácí uživatele je tento: V menu jděte na Windows → Nastavení → Aktualizace a zabezpečení → a klikněte na tlačítko „Vyhledat aktualizace“.

Další kritické chyby ve Windows ovlivňující Bránu VP

Kromě výše uvedené zranitelnosti opravil Microsoft v lednu dalších 48 zranitelností, z nichž 8 je kritických a zbylých 40 bylo důležitých.

Dva ze dvou kritických problémů ovlivňují Bránu vzdálené plochy ve Windows (Brána VP). Jsou vedeny pod identifikátory CVE-2020-0609 a CVE-2020-0610 a mohou být zneužity neautorizovanými útočníky ke spuštění škodlivého kódu v cílených systémech pouhým odesláním speciálně vytvořeného požadavku přes Bránu VP.

„Tato zranitelnost se týká pre-autentifikace a nevyžaduje od uživatelů žádnou spolupráci. Útočník, který by úspěšně zneužil tuto zranitelnost by v cílovém systému mohl spustit jakýkoli libovolný kód,“ uvádí se ve varování.

Další kritický problém s identifikátorem CVE-2020-0611 je v klientovi Vzdálené plochy a mohl by vést k obrácenému útoku na Bránu VP, kdy škodlivý server může spouštět libovolný kód na počítači s připojeným klientem.

„Aby mohl tuto zranitelnost zneužít, potřeboval by útočník získat kontrolu nad serverem a poté přesvědčit uživatele, aby se na něj připojil,“ píše se ve varování. „Útočník by také mohl napadnout legitimní server, umístit na něj škodlivý kód a počkat, až se uživatel připojí.“

Naštěstí žádná z chyb, které společnost Microsoft tento měsíc vyřešila, nebyla předem zveřejněna nebo objevena díky tomu, že by došlo k jejímu zneužití.

Podrobný seznam zasažených systémů naleznete v článku na adrese: https://www.cisecurity.org/advisory/critical-patches-issued-for-microsoft-products-january-14-2020_2020-006/

Další související odkazy:

Microsoft: https://portal.msrc.microsoft.com/en-us/security-guidance

https://portal.msrc.microsoft.com/en-us/security-guidance/summary

NSA: https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0601