[HelseCERT] Oppdatering til sårbarhet fra patchetirsdag CVE-2020-0601

HelseCERT ønsker å komme med en oppdatering angående Patch Tuesdays mye omtalte sårbarhet CVE-2020-0601[1][2]. Det har nå kommet ut kode for å utnytte sårbarheten (proof-of-concept)[3][4][5], som gjør at alle har tilgang til kode som kan utnytte denne sårbarheten. Man må forvente at flere, og mer effektive slike blir tilgjengelig etter hvert. Sårbarheten utnytter problemer med Windows crypt32.dll sin signaturverifikasjon av ECC (elliptical curve cryptography). Se ellers [6] for en relativt god oppsummering av sårbarheten.

Konsekvensen av utnyttelse er at enhver kan lage sertifikater for et hvilket som helst domene. Med andre ord kan man ikke stole på sertifikatvalidering på systemer som har denne sårbarheten.

Denne sårbarheten vil eksempelvis tillate en ondsinnet aktør å utføre 'Man-in-the-Middle' angrep, og signere ondsinnet kode som gjør at sikringsmekanismer som er basert på verifikasjon av signatur ikke lenger vil stoppe slik kode.

Merk at utnyttelse vil kreve noe tilgang til det sårbare systemet. Avhengig av hva man benytter sertifikater til vil disse ikke lenger kunne stoles på for sårbare systemer.

HelseCERT anbefaler at patching av denne sårbarheten, sammen med resten av sårbarhetene fra patchetirsdag denne måneden prioriteres.

Referanser:

[1] - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

[2] - https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

[3] - https://research.kudelskisecurity.com/2020/01/15/cve-2020-0601-the-chainoffools-attack-explained-with-poc/

[4] - https://github.com/ollypwn/cve-2020-0601

[5] - https://github.com/kudelskisecurity/chainoffools

[6] - https://gist.github.com/SwitHak/62fa7f8df378cae3a459670e3a18742d#file-20200114-tlp-white_cve-2020-0601-md