ΑρχικήSecurityMicrosoft: Διορθώνει Windows crypto bug που ανέφερε η NSA

Microsoft: Διορθώνει Windows crypto bug που ανέφερε η NSA

Η Microsoft κυκλοφόρησε χθες το Patch Tuesday Ιανουαρίου 2020, το οποίο διορθώνει 49 ευπάθειες. Μια από τις πιο κρίσιμες ευπάθειες που διορθώνονται είναι ένα crypto bug, που επηρεάζει το λειτουργικό σύστημα των Windows.

Το ζήτημα ασφαλείας ανακαλύφθηκε από τον Οργανισμό Εθνικής Ασφάλειας των ΗΠΑ (NSA), ο οποίος και ενημέρωσε τη Microsoft.

CVE-2020-0601

Η ευπάθεια έχει ονομαστεί CVE-2020-0601 και επηρεάζει το Windows CryptoAPI. Το CryptoAPI αποτελεί βασικό στοιχείο των Windows.

Πρόκειται για μια spoofing ευπάθεια που επηρεάζει τον τρόπο με τον οποίο το CryptoAPI των Windows (Crypt32.dll) επικυρώνει τα Elliptic Curve Cryptography (ECC) πιστοποιητικά.

Σύμφωνα με τη Microsoft, ένας επιτιθέμενος θα μπορούσε να εκμεταλλευτεί την ευπάθεια για να δημιουργήσει ένα κακόβουλο εκτελέσιμο και να το κάνει να φαίνεται σαν να προέρχεται από μια νόμιμη πηγή.

Επίσης, θα μπορούσε να χρησιμοποιηθεί για πλαστά ψηφιακά πιστοποιητικά που χρησιμοποιούνται για κρυπτογραφημένες επικοινωνίες.

Τέλος, η Microsoft προειδοποίησε ότι οι κακόβουλοι hackers θα μπορούσαν να εκμεταλλευτούν την ευπάθεια για να πραγματοποιήσουν man-in-the-middle επιθέσεις και να αποκρυπτογραφήσουν εμπιστευτικές πληροφορίες.

Η εταιρεία δήλωσε ότι το συγκεκριμένο σφάλμα επηρεάζει τα Windows 10, Windows Server 2019 και Windows Server 2016.

Το θετικό στοιχείο είναι ότι δεν έχουν ανακαλυφθεί περιστατικά εκμετάλλευσης της ευπάθειας. Όσοι δεν θέλουν να πέσουν θύμα μιας επίθεσης, πρέπει να εγκαταστήσουν άμεσα το patch.

Η ευπάθεια είναι πολύ σοβαρή. Η NSA δήλωσε ότι ενημέρωσε τη Microsoft για το ζήτημα ασφαλείας και δεν το χρησιμοποίησε για τα εργαλεία και τις δραστηριότητές της.

Πολλοί οργανισμοί ασφάλειας στον κυβερνοχώρο έχουν αναφέρει στο παρελθόν σημαντικές ευπάθειες στη Microsoft.

Η Microsoft ευχαριστεί την NSA για τη βοήθειά της, καθώς είναι η πρώτη φορά που αναφέρει την ύπαρξη ενός σφάλματος.

Ο οργανισμός δημοσίευσε, επίσης, κάποιες συμβουλές ασφαλείας και τρόπους ανίχνευσης της εκμετάλλευσης και ενθάρρυνε όλους τους χρήστες και τους επαγγελματίες πληροφορικής να εγκαταστήσουν το patch Ιανουαρίου όσο το δυνατόν πιο γρήγορα.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS