Η Microsoft κυκλοφόρησε χθες το βράδυ τις ενημερώσεις του Patch Tuesday για τα Windows 10 και τον Windows Server. Μια από τις ευπάθειες που επιδιόρθωσε η εταιρεία ήταν και μια που τους έδωσε η NSA. Για την συγκεκριμένη ευπάθεια είχαμε αναφερθεί χθες πριν την κυκλοφορία του patch από την Microsoft.
Η ευπάθεια επηρεάζει τον τρόπο με τον οποίο το Windows CryptoAPI (Crypt32.dll) επικυρώνει τα πιστοποιητικά κρυπτογράφησης ελλειπτικής καμπύλης (από το Elliptic Curve Cryptography ή απλά ECL).
Μια επιτυχημένη εκμετάλλευση δίνει στον επιτιθέμενο τη δύναμη να διεξάγει επιθέσεις man-in-the-middle και στη συνέχεια είναι σε θέση να αποκρυπτογραφεί τις ευαίσθητες πληροφορίες.
“Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί την ευπάθεια χρησιμοποιώντας ένα πλαστογραφημένο πιστοποιητικό για να υπογράψει ένα κακόβουλο εκτελέσιμο αρχείο, κάνοντάς το να φαίνεται αξιόπιστο και από νόμιμη πηγή. Ο χρήστης δεν έχει κανέναν τρόπο να γνωρίζει ότι το αρχείο είναι κακόβουλο, επειδή η ψηφιακή του υπογραφή φαίνεται να προέρχεται από κάποιο αξιόπιστο πάροχο,” αναφέρει η Microsoft.
Την ευπάθεια έχει καταγραφεί σαν “σημαντική” και η Microsoft εξηγεί ότι η εκμετάλλευση της είναι πιθανή. Ωστόσο, η εταιρεία δεν γνωρίζει να συμβαίνουν επιθέσεις αυτή τη στιγμή.
Από την άλλη, η NSA δημοσίευσε ένα δικό της άρθρο για το ελάττωμα, προτρέποντας όλους τους χρήστες στο διαδίκτυο να ενημερώσουν τα Windows το συντομότερο δυνατόν.
“Η ευπάθεια θέτει σε κίνδυνο βασικά σημεία των Windows σε ένα ευρύ φάσμα φορέων εκμετάλλευσης. Η NSA εκτιμά ότι η ευπάθεια είναι σοβαρή και ότι οι εξειδικευμένοι φορείς του κυβερνοχώρου θα κατανοήσουν πολύ γρήγορα το υποκείμενο κενό ασφαλείας και, εάν το εκμεταλλευθούν, θα καταστήσουν την προαναφερθείσα πλατφόρμα θεμελιωδώς ευάλωτη. Οι συνέπειες της μη κάλυψης της ευπάθειας θα είναι σοβαρές και διαδεδομένες.”
Όλες οι εκδόσεις των Windows 10 που έχουν κυκλοφορήσει μέχρι σήμερα επηρεάζονται, μαζί με τον Windows Server 2016, τον Windows Server 2019 και τον Windows Server στις εκδόσεις 1809, 1903 και 1909. Τα patches συμπεριλαμβάνονται στις αθροιστικές ενημερώσεις αυτού του μήνα.
Φυσικά η NSA φαίνεται να προσπαθεί να φτιάξει το δημόσιο προφίλ της, ανοίγοντας μια πολύ σοβαρή ευπάθεια των Windows, με επίσημα δελτία τύπου (PDF) κλπ. Αυτό όμως που δεν μας είπε η υπηρεσία συλλογής πληροφοριών των ΗΠΑ, είναι πόσο καιρό γνωρίζει την ευπάθεια και την ανακοίνωσε τώρα.
Επειδή στην περίπτωση της NSA και κάθε μυστικής υπηρεσίας η παράνοια είναι η μισή αλήθεια θα ήθελα να αναφέρω ένα σενάριο που σκέφτηκα μόλις έμαθα την διάθεση της NSA να αποκαλύψει το 0day.
Η NSA μπορεί να γνώριζε την ευπάθεια και δεν την αποκάλυπτε για ευνόητους λόγους, μέχρι που ανακάλυψε ότι την γνωρίζουν και κάποιοι άλλοι.
Το παραπάνω σενάριο ταιριάζει καλύτερα με τον τρόπο που λειτουργούν οι υπηρεσίες όπως τη NSA, καθώς ο αλτρουισμός είναι γνωστό ότι δεν τις χαρακτηρίζει.