Перейти к содержанию

Microsoft оповестили миллиарды пользователей о 49 новых уязвимостях в своих различных продуктах


TheFuzzStone

Рекомендуемые сообщения

image.thumb.png.5a2c3f8ca677dd8718f3515c0769839a.png

 

Особенность последнего обновления заключается в том, что одно из обновлений исправляет серьезную уязвимость в основном криптографическом компоненте, который широко используется в Windows 10, Server 2016 и 2019 версиях.

 

Этот баг был обнаружен и зарепорчен Агентсвом Национальной Безопасности США (АНБ).

 

Более интересным является то, что это первый случай когда АНБ сообщило об этом Microsoft, в отличие от случая с Eternalblue SMB, который АНБ держало в секрете как минимум пять лет, а затем информация просочилась в прессу от неизвестного источника, что привело к появлению всем известного WannaCry в 2017 году.

CVE-2020-0601: Уязвимость Windows CryptoAPI

Согласно сообщению компании Microsoft, дефект, названный 'NSACrypt' и имеющий название CVE-2020-0601, находится в модуле Crypt32.dll, который содержит различные функции обмена сертификатами и криптографическими сообщениями, которые используются в Windows Crypto API для работы с шифрованием и расшифровкой данных.

Проблема заключается в том, что модуль Crypt32.dll валидирует сертификаты эллиптической криптографии (ECC), которые в настоящее время являются отраслевым стандартом криптографии с открытым ключом, и используются в большинстве SSL/TLS-сертификатов.

В пресс-релизе, опубликованном АНБ, говорится, что "уязвимость проверки сертификата позволяет злоумышленнику нарушить правила проверки подлинности криптографического подтверждения и может включить удаленное выполнение кода".

Использование уязвимости позволяет злоумышленникам злоупотреблять процедурой валидации между:

 

  • HTTPS-соединениями
  • Подписанными файлами и электронными письмами
  • Подписанным исполняемым кодом, запущенным в пользовательском режиме.

 

Хотя технические подробности этой уязвимости еще не раскрыты, Microsoft уже подтвердила наличие этой уязвимости, которая в случае успешной эксплуатации может позволить злоумышленникам подделать цифровые подписи на программном обеспечении, обманом заставив операционную систему установить вредоносное программное обеспечение, при этом выдавая себя за легальное программное обеспечение (без ведома пользователей).

 

Злоумышленник мог использовать уязвимость благодаря поддельному коду-подписи сертификата, чтобы подписать вредоносный исполняемый файл, в результате пользователь не мог знать, что файл был вредоносным, потому что цифровая подпись выглядела, как от достоверного провайдера.

Кроме того, уязвимость CryptoAPI позволяет удаленно производить атаку типа "man-in-the-middle", выдавая себя за веб-сайт или расшифровывать конфиденциальную информацию о пользовательских соединениях с зараженным программным обеспечением.

 

"Последствия несоблюдения требований по устранению уязвимости являются серьезными и широко распространенными. Инструменты для дистанционной эксплуатации, скорее всего, будут быстро и широко доступны", -- ну, вы поняли? ?

Помимо уязвимости CryptoAPI, Microsoft также исправила 48 других уязвимостей, 8 из которых являются критическими, а остальные 40 - важными.

Другие критические уязвимости в Windows

Две критические проблемы касаются Windows Remote Desktop Gateway (RD Gateway), известные как CVE-2020-0609 и CVE-2020-0610, которые могут быть использованы неаутентифицированными злоумышленниками для выполнения вредоносного кода на системах, являющихся объектом атаки, просто отправив специально созданный запрос через RDP.

 

"Эта уязвимость является пре-аутентификацией и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код на целевой системе", - говорится в заявлении.

 

Одна из критических проблем в Remote Desktop Client, отслеживаемая как CVE-2020-0611, может привести к обратной RDP атаке, когда вредоносный сервер может выполнить произвольный код на компьютере подключающегося клиента.

 

"Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо иметь контроль над сервером, а затем убедить пользователя подключиться к нему", - говорится в заявлении.

"Злоумышленник также может скомпрометировать легитимный сервер, разместить на нем вредоносный код и подождать, пока пользователь подключится".

 

На инглише можете почитать здесь.


Взято с канала: @DrHerbertWest

 

 

Разве это не мило? :blush2:
Агентство Национальной Безопасности США помогает Microsoft сделать Windows лучше.

Изменено пользователем TheFuzzStone
Ссылка на комментарий
Поделиться на другие сайты

Новости 3 дня, опомнился. Обычный баг причем для его воспроизведения пользователь должен скачать и установить исполняемый файл, который подпишется как нормальный

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

    • Arkham: Найден криптокошелек британских властей с биткоинами на миллиарды долларов

      Специалисты аналитической площадки Arkham Intelligence заявили, что нашли адрес криптовалютного кошелька, принадлежащего правительству Великобритании. На криптокошельке хранится 61 245 BTC (свыше $4,1 млрд). В 2018 году британские правоохранительные органы конфисковали биткоины у двух граждан Китая. Один из них, некий Чжимин Цянь (Zhiming Qian), покупал биткоины на средства, которые получил в результате мошеннических сделок с инвестициями в период с 2014 по 2017 год.   Аналитики Arkh

      в Новости криптовалют

    • Артур Хейс: «ETF на биткоин может привлечь миллиарды долларов из рынка TradFi»

      Известный криптоинфлюэнсер Артур Хейс опубликовал новое эссе, в котором рассмотрел потенциал недавно одобренных спотовых биржевых фондов (ETF) на биткоин на классическом финансовом рынке. Бывший генеральный директор биржи BitMEX Артур Хейс (Arthur Hayes) считает, что ETF на биткоин может открыть для трейдеров новые торговые возможности, связанный с арбитражем, опционами и финансированием.   «Ценообразование на рынке биткоина происходит в основном на Binance. Это значит, что впервые

      в Новости криптовалют

    • Биржа Binance оштрафована на миллиарды долларов / Отставка Чанпэна Чжао / Будущее биржи

      Крупнейшая биржа Binance, контролирующая более 50% крипторынка, поменяла руководство и вынуждена заплатить беспрецедентные миллиарды долларов казне США. Какие именно обязательства взяла на себя Binance? Что грозит ее экс-гендиректору Чанпэну Чжао? Ждет ли биржу полный крах, или у нее есть шансы выбраться? Расскажем в новом выпуске Bits.media.  

      в Новости криптовалют

    • Пользователи Ledger потеряли 16,8 BTC из-за мошеннического приложения в Microsoft Store

      «Криптовалютный детектив» ZachXBT предупредил о поддельном приложении Ledger Live в магазине приложений Microsoft. Пользователи, скачавшие его, уже потеряли 16,8 BTC на общую сумму $588 000. Как сообщил ZachXBT, фейковое приложение Ledger Live Web3 мимикрировало под производителя аппаратных кошельков Ledger, используемых для хранения биткоинов в автономном режиме. У людей, скачавших поддельное приложение в магазине Microsoft App Store, украдены биткоины на $588 000 в ходе 38 транзакций. Бол

      в Новости криптовалют

    • Microsoft может интегрировать криптовалютный кошелек в Xbox

      Софтверный и облачный гигант Microsoft может интегрировать криптовалютные кошельки в свое игровое устройство Xbox. Об этом стало известно благодаря утечке внутренних документов компании. В документах раскрыты важные переписки между официальными лицами Xbox, чертежи предстоящей бездисковой Xbox Series X, подробности о гироскопическом контроллере и даже информация о гибридной Xbox следующего поколения, которая выйдет в 2028 году.   Также, согласно документам, в план Xbox на май 2022 го

      в Новости криптовалют

×
×
  • Создать...