Microsoft、NSAによって報告されたWindows暗号化バグを修正

Microsoftは本日、Windowsオペレーティングシステムに影響を与える「広範な暗号化の脆弱性」を修正するセキュリティアップデートをリリースした。

このバグは米国家安全保障局（NSA）によって発見され、報告されたとNSAサイバーセキュリティ局長アン・ニューバーガー氏が今日の記者会見で述べた。

CVE-2020-0601 のバグ

脆弱性は次のように追跡されます CVE-2020-0601、に影響を与えます Windows 暗号化 API、暗号化操作を処理する Windows オペレーティング システムのコア コンポーネント。

本日公開されたセキュリティ アドバイザリによると、「Windows CryptoAPI (Crypt32.dll) が楕円曲線暗号 (ECC) 証明書を検証する方法にスプーフィングの脆弱性が存在します。」

Microsoftは、攻撃者がこのバグを悪用して「悪意のある実行可能ファイルに署名し、そのファイルが信頼できる正当なソースからのものであるかのように見せかける」可能性があると述べている。

しかし、このバグはファイル署名の偽装以外にも、暗号化通信に使用されるデジタル証明書の偽装にも利用される可能性がある。

Microsoftはまた、「エクスプロイトに成功すると、攻撃者が中間者攻撃を実行し、影響を受けるソフトウェアへのユーザー接続に関する機密情報を復号化できる可能性がある」とも述べた。

Microsoft によると、この脆弱性は Windows 10、Windows Server 2019、および Windows Server 2016 の OS バージョンに影響します。

MicrosoftとNSAは、本日のパッチが適用されるまでは、このバグを悪用した積極的な攻撃は確認されていないと述べた。

NSAの最初のクレジット

このバグは非常に悪質であると考えられています。 ニューバーガー氏は、当局は脆弱性を溜め込んで攻撃ツールや作戦に利用するのではなく、バグを報告するという前例のない措置を講じたと述べた。

CVE-2020-0601 脆弱性は、Microsoft がバグ報告の功績を NSA に認めた初めてのことです。 他のサイバーセキュリティ機関もこれまでに重大な脆弱性をマイクロソフトに報告している。 たとえば、英国国家サイバー セキュリティ センターは、2019 年 5 月に今や悪名高い BlueKeep バグを Microsoft に報告しました。

ニューバーガー氏は、NSAがこのバグを報告したことは、サイバーセキュリティに対するNSAの一般的なアプローチの変更であり、他のバグ報告もこれに続くだろうと述べた。

Microsoft にバグを報告するだけでなく、当局は重大な問題に対しても事前通知を送信していました。 今日の公式パッチが適用される前にインフラストラクチャ オペレータに、主要な修正が行われたことを知らせました。 到来。

代理店が発表した 独自のセキュリティ勧告では、緩和情報と悪用の検出方法を本日後半に公開し、IT スタッフに対し、本日のパッチ チューズデーのセキュリティ アップデートのインストールを迅速に行うよう促しています。

国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（DHS CISA）も本日発表する。 緊急指令 最新の Windows OS 修正プログラムをインストールする必要性について米国の民間部門および政府機関に警告します。

「現時点で私たちが自由に使える情報を考慮すると、お客様はこのパッチをすぐに適用することを絶対に確認する必要があります。 これはすべての「重要なパッチ」に当てはまりますが、現時点では二重に当てはまります」とCyber​​easonのCTO兼共同創設者であるYonatan Striem-Amit氏は本日ZDNetに語った。