Xylos brands

CVE-2020-0601: Spoofingprobleem in Windows CryptoAPI

De Amerikaanse NSA heeft een kritiek beveiligingsprobleem ontdekt in Microsofts CryptoAPI (crypt32.dll), waardoor de software vatbaar is voor spoofing-aanvallen. Hoe kunnen mogelijke aanvallers deze kwetsbaarheid uitbuiten? Loopt jouw bedrijf risico? En wat moet je doen om dit probleem op te lossen? Je leest er alles over in deze blogpost.

Het probleem

De kwetsbaarheid schuilt in de manier waarop de Windows CryptoAPI Elliptic Curve Cryptography (ECC) valideert. Door een kwaadaardig uitvoerbaar bestand te ondertekenen met een vervalst Code-Signing Certificate kan de aanvaller Windows om de tuin leiden, zodat het systeem denkt dat het bestand van een betrouwbare bron komt en dus niet schadelijk is. Omdat de digitale handtekening van een vertrouwde provider lijkt te zijn, merken ook gebruikers niet op dat het om een kwaadaardig bestand gaat.

Door de digitale handtekening van kwaadaardige software te 'spoofen', zorgt de aanvaller er dus voor dat Windows zijn software herkent als een legitieme toepassing die veilig kan worden geïnstalleerd. Op die manier kan hij het systeem infiltreren en vertrouwelijke informatie ontcijferen over de verbindingen van gebruikers met de aangetaste software.

Loopt je bedrijf risico?

Deze kwetsbaarheid is opgemerkt in alle versies van Windows 10, Windows Server 2016 en Windows Server 2019. Kudelski Research Facility heeft een werkende exploitcode gepubliceerd en volgens de Franse veiligheidsexpert SwitHak zijn er al publieke en privé-exploits gedetecteerd.

Hoe check je of dit probleem op jouw systeem kan worden uitgebuit?

  • Wanneer je de nieuwste OS-update installeert, controleer je de volgende informatie in je event viewer (Eventvwr):

Type                   Value
Event Log          Windows Logs/Application
Event Source    Audit-CVE
Event ID             1

  • Gebruik het volgende PowerShell-commando:

Get-EventLog -LogName Application -Source Audit-CVE -InstanceId 1

Heb je hulp nodig bij het detecteren van deze exploitatie met PowerShell? Neem dan gerust contact met ons op. Wij helpen je met plezier verder.

De oplossing

Microsoft heeft het probleem opgelost met een beveiligingsupdate, zoals beschreven in het veiligheidsadvies voor CVE-2020-0601. Deze patch zorgt ervoor dat Windows CryptoAPI ECC-certificaten volledig in plaats van slechts gedeeltelijk valideert. Momenteel is het installeren van deze patch de enige manier om het risico te elimineren.

Deel dit blogbericht

Laat een antwoord achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd.

Breng jouw kennis en skills naar een hoger niveau

Schrijf nu in voor onze nieuwsbrief en krijg maandelijks:

  • Uitnodigingen voor Xylos' events & webinars
  • De laatste blogposts en cases
  • Nieuwste IT-trends