Beheer

Security
Windows-gat

Groot encryptiegat in Windows, bekend dankzij de NSA

Spionagedienst VS ontdekt én meldt gat in Windows’ CryptoAPI.

© CC0 - Public Domain, bewerkt Thijs Doorenbosch
15 januari 2020

Spionagedienst VS ontdekt én meldt gat in Windows’ CryptoAPI.

Onrust vooraf, schrik en verwarring bij de bekendmaking, en vervolgens alle hens aan dek in beveiligingsland. Patchen, en wel nu. De eerste Patch Tuesday van 2020 is gelijk een grote. De ingebouwde encryptiefunctie CryptoAPI van Windows blijkt een ernstige, nee: zeer ernstige kwetsbaarheid te bevatten. Microsoft waarschuwt voor de malafide mogelijkheid van spoofing voor digitaal ondertekende exe-bestanden. De NSA benadrukt de bredere ondermijning van encryptie in, door en op Windows.

Een aanvaller kan deze kwetsbaarheid misbruiken door een certificaat voor digitale ondertekening van software te spoofen om daarmee dan een kwaadaardig uitvoerbaar bestand te ondertekenen. De malafide .exe lijkt dan afkomstig van een vertrouwde aanbieder, en kan dus worden uitgevoerd zonder dat er alarmbellen afgaan.

Vertrouwen geschonden

“Een succesvolle exploit kan een aanvaller ook in staat stellen om man-in-the-middle aanvallen uit te voeren”, waarschuwt Microsoft in zijn informatiebulletin. Deze inzet van de kwetsbaarheid kan vertrouwelijke informatie ontsleutelen bij verbindingen met de hierdoor kwetsbare software.

Windows-maker Microsoft schaalt de ernst van deze kwetsbaarheid in op ‘belangrijk’ en dringt aan op spoedig patchen. Security-onderzoek Dan Kaminsky, die ruim 10 jaar geleden het wereldwijde gat in DNS heeft ontdekt, merkt fijntjes op dat zijn bug toen ook als ‘belangrijk’ was gerangschikt.

De National Security Agency (NSA) die het nu te patchen Windows-gat heeft ontdekt, uit scherpere taal dan Microsoft. De inlichtingendienst schat het gevaar groot in en dringt aan op zo snel mogelijk patchen, met prioriteit voor bepaalde systemen. Dit zijn bijvoorbeeld updateservers, domaincontrollers, Windows-draaiende DNS-servers, web-appliances, VPN-servers en webservers, maar ook proxyservers die TLS-validatie verzorgen.

Windows Update

Terwijl Microsoft de impact voor code-ondertekening belicht, waarschuwt de spionagedienst van de Amerikaanse overheid voor het bredere gevaar van algehele ondermijning van Windows’ trust-systeem. Updates voor Windows zouden gespoofed kunnen worden, niet via Microsofts updateservers maar mogelijk wel via WSUS-updateservers die bedrijven zelf draaien voor hun Windows-omgevingen.

Bovendien is de reikwijdte verder dan alleen Windows zelf. Op het spel staan ook herkomst en betrouwbaarheid van applicaties, bestanden, berichten en versleutelde communicatie. Google’s beruchte gatenjager Tavis Ormandy verbaast zich over Microsofts focus op het risico voor code-ondertekening. Het informatiebulletin van de NSA is volgens hem veel nuttiger dan die van Microsoft.

Basiscomponent, ook voor apps

De fout heeft de naam NSACrypt gekregen (en CVE-code 2020-0601) en schuilt in de Crypt32.dll-module van Windows. Dat component van Windows bevat diverse functies voor versleuteling waar Windows-applicaties weer gebruik van kunnen maken. Ironisch genoeg omvat dit ook de beruchte ransomware NotPetya.

De NSA luidt de noodklok: digitaal ondertekende code valt mogelijk niet te vertrouwen, versleutelde verbindingen zijn te compromitteren, ondertekende bestanden en mails zijn te vervalsen.

De zwakte zit in de validatie van beveiligingscertificaten die met Elliptic Curve Cryptography (ECC) zijn aangemaakt. De patch die Microsoft heeft uitgebracht zorgt ervoor dat de ingebouwde CryptoAPI de ECC-certificaten volledig valideert. Deze update is beschikbaar voor de besturingssystemen Windows 10, Windows Server 2016 en 2019. Meerdere varianten én versies (builds) van Windows (client én server) blijken kwetsbaar te zijn voor dit encryptiegat.

Alle software, inclusief non-Microsoft programmatuur, die vertrouwt op de CertGetCertificateChain()-functie van Windows om een X.509-certificaat te valideren loopt risico, legt het CERT-coördinatiecentrum (Computer Emergency Response Team) van de Carnegie Mellon University uit. De betrouwbaarheid van de validatieketen voor zo’n certificaat terug naar een vertrouwde certificaatautoriteit kan ‘incorrect uitpakken’. Oftewel: die trust-keten valt te vervalsen.

Oudere Windows-installaties zijn echter gevrijwaard. Dit is te danken aan het feit dat versies vóór Windows 10 en Server 2016 geen ondersteuning hebben voor ECC-sleutels met parameters. Pogingen tot misbruik van deze encryptiefout zorgt er op oudere Windows-versies automatisch voor dat hieruit voortgekomen certificaten niet worden vertrouwd.

Kans op aanvallen

Technische details zijn vooralsnog niet vrijgegeven, dit om de kans op misbruik te verminderen. Volgens zowel Microsoft als ook de NSA is het gevaar voor exploits nu al flink. De gevolgen van het niet patchen van dit gat zijn volgens de Amerikaanse inlichtingendienst ernstig, én wijdverbreid. “Remoite exploitation tools zullen waarschijnlijk snel en breed beschikbaar worden gemaakt”, waarschuwt de NSA.

Ook het Nederlandse cybersecuritycentrum van de overheid hamert op het direct doorvoeren van Microsofts januari-patches voor Windows. Het Nationaal Cyber Security Centrum (NCSC) merkt de updates aan als ‘high/high’ en deze moeten daarom met grote prioriteit worden geïnstalleerd.

Patch nu

NSA-topman Rob Joyce dringt er bij beheerders op aan om te patchen. Hij heeft de discussie over het wel of niet urgent zijn van de Microsoft-patch met lede ogen aangezien. “Als je iets hebt wat het waard is om te beschermen, dan is het gedogen van een fout die het trust-systeem in Microsoft Windows ondermijnt heel, heel slecht. Patch”, tweet hij.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.