Aujourd'hui, Microsoft a publié une mise à jour de sécurité pour corriger CVE-2020-0601, une vulnérabilité d'usurpation qui exploite la façon dont Windows CryptoAPI (Crypt32.dll) valide les certificats de cryptographie sur les courbes elliptiques (ECC).
Cette vulnérabilité affecte uniquement Windows 10 et Windows Server 2016 et Windows Server 2019.
Bien qu'aujourd'hui soit le dernier jour pour les mises à jour de sécurité pour Windows 7, ce dernier n'est PAS concerné par ce problème.
Qu’est-ce que la vulnérabilité CVE-2020-0601 ?
La vulnérabilité CVE 2020-0601 peut permettre à un attaquant d'usurper des certificats numériques légitimes. Cela peut être utilisé pour signer un code malveillant et le faire apparaître comme légitime, ou pour mener des attaques de type "man-in-the-middle" (MitM) contre le trafic réseau chiffré, divulguant le contenu de ce trafic à un attaquant. Pour que cela se produise, l'utilisateur doit choisir d'exécuter le logiciel.
Quel est l’impact de CVE-2020-0601 ?
Microsoft qualifie la vulnérabilité d'"importante" dans son système, mais l'impact est suffisamment important pour que les organisations la considèrent comme critique en termes d'accélération du déploiement des mises à jour de sécurité.
Même si le public est inquiet que la vulnérabilité puisse être utilisée pour signer du code malveillant, les chercheurs de Proofpoint ont examiné ce scénario et identifié des facteurs d'atténuation pour les clients et les fournisseurs de sécurité. Les produits de sécurité qui mettent en œuvre une analyse comportementale pour détecter les logiciels malveillants devraient être en mesure de détecter le logiciel malveillant sous-jacent, même s'il est signé avec un certificat apparemment légitime.
Il est également important de noter que la portée des systèmes affectés (Windows 10 et Windows Server 2016 et 2016 uniquement) limite la portée potentielle de cette vulnérabilité à des fins malveillantes.
Enfin, jusqu'à présent, rien n'indique de la part de Microsoft ou de l'Agence nationale de sécurité des États-Unis (NSA), qui a divulgué cette vulnérabilité, qu'elle ait été utilisée à des fins malveillantes.
Dans l'ensemble, cela signifie qu'il s'agit d'une vulnérabilité qui doit être corrigée rapidement, mais qui n'atteint pas le niveau des scénarios Heartbleed ou WannaCry du passé.
Comme toujours, les chercheurs de Proofpoint surveillent la situation et si nous constatons des changements significatifs dans le paysage des menaces, nous vous tiendrons informés. Mais pour l'instant, nous vous recommandons de tester et d'appliquer rapidement les correctifs.