microsoft-dicht-lek-in-digitale-handtekeningen-windows-10
Advertentie

Microsoft heeft vanavond meerdere beveiligingsupdates uitgebracht, waaronder voor een kwetsbaarheid in Windows 10 die door de NSA is gevonden en het mogelijk maakte om digitale handtekeningen van bestanden te vervalsen. Het lek is door Microsoft als “belangrijk” bestempeld.

De kwetsbaarheid geeft aanvallers niet de mogelijkheid om zonder interactie van gebruikers het systeem over te nemen, zoals bij “kritieke” kwetsbaarheden het geval is. Het probleem bevindt zich in de manier waarop de Windows Crypto API Elliptic Curve Cryptography (ECC) certificaten valideert. Ontwikkelaars kunnen hun Windows-bestanden signeren, zodat gebruikers weten van wie het programma afkomstig is. Door het beveiligingslek had een aanvaller malware van een digitale handtekening kunnen voorzien die van een legitieme bron afkomstig leek.

“De gebruiker zou geen manier hebben om te weten dat het bestand kwaadaardig was, omdat de digitale handtekening van een vertrouwde aanbieder afkomstig leek te zijn”, aldus Microsoft. Via de kwetsbaarheid zou een aanvaller ook man-in-the-middle-aanvallen kunnen uitvoeren en vertrouwelijke informatie kunnen ontsleutelen op verbindingen tussen de gebruiker en betreffende software. Het techbedrijf verwacht dat aanvallers op korte termijn misbruik van het lek zullen maken.

De beveiligingsupdate van Microsoft zorgt ervoor dat de Windows CryptoAPI, die door Windows-gebaseerde applicaties wordt gebruikt en zorgt voor het versleutelen en ontsleutelen van gegevens via digitale certificaten, ECC-certificaten nu wel volledig controleert. Het beveiligingslek is aanwezig in Windows 10, Server 2016 en Server 2019. Op de meeste Windowssystemen wordt de beveiligingsupdate automatisch geïnstalleerd.

Het beveiligingslek, aangeduid als CVE-2020-0601, werd door de Amerikaanse geheime dienst NSA aan Microsoft gerapporteerd. De dienst wordt in het beveiligingsbulletin dan ook bedankt door het techbedrijf.

Advertentie

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in