Szerző: Hlács Ferenc

2020. január 15. 11:05:00

Az NSA által elcsípett hibát is javítja az idei első patch kedd

A Microsoft javítócsomagja további nyolc kritikus sebezhetőséget is orvosol.

Összesen mintegy ötven biztonsági rést, köztük nyolc kritikus sérülékenységet foltoz a Microsoft idei első patch keddi frissítéscsomagja - beleértve egy az NSA által felfedezett, rendkívül súlyos hibát is.

A pakk legfájdalmasabb, CVE-2020-0601 kód alatt követett bugja egy Windows CryptoAPI spoofing sebezhetőség. A hiba a Windows CryptoAPI, egész pontosan a Crypt32.dll ECC (Elliptic Curve Cryptography) tanúsítványkezelésében gyökerezik. A potenciális támadók a bugot egy hamis tanúsítvánnyal ellátott, rosszindulatú parancsfájllal aknázhatják ki, amely a felhasználók számára látszólag hiteles forrásból származik. Az exploittal a támadók érzékeny, titkosított adatokhoz is hozzáférhetnek, vagy további, közbeékelődéses támadásokra is felhasználhatják azt.

patch

A sebezhetőséget az Egyesült Államok fentebb is említett Nemzetbiztonsági Ügynöksége, az NSA fedezte fel, és jelezte a Microsoft felé. Az ügynökségnek nem ez az első találkozása a windowsos biztonsági résekkel, hírhedt, Eternal Blue névre hallgató eszközét épp egy ilyen sebezhetőség kiaknázására hozta létre, mielőtt azt a Microsoft 2017-ben javította volna - éppen megelőzve a Shadow Brokers hackercsoportot, amely nem sokkal később kiszivárogtatta az eszközt. Azt nem tudni, hogy a CVE-2020-0601-ről az NSA mióta tudott, azt ugyanakkor az ügynökség online biztonsági igazgatóságának vezetője, Anne Neuberger külön kiemelte, a szervezet nem használta ki a sérülékenységet. Már csak emiatt az egy biztonsági rés miatt is érdemes tehát haladéktalanul telepíteni a patch keddi frissítéscsomagot.

A CVE-2020-0609 és CVE-2020-0610 kóddal ellátott bugok is megérnek egy említést, utóbbiak a Windows Server 2016 és Windows Server 2012 kiadásokat sújtják. Mindkét hiba a Windows Remote Desktop Gateway komponensben található: a támadók egy RDP kapcsolat indítását követően, néhány megfelelően preparált lekéréssel használhatják ki a bugokat, még az RDP autentikációs folyamat elindulása előtt.

Mindezek mellett a patch keddi csomag szokás szerint egy sor egyéb javítást is tartalmaz, egyebek mellett az Internet Explorerhez, az ASP.NET-hez, a .NET keretrendszerhez, valamint a Microsoft Dynamicshoz és Office-hoz is. A csomagot ajánlott a lehető leghamarabb mindenkinek telepíteni.

a címlapról