Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft brengt patch uit voor bug die certificaat-spoofing mogelijk maakt

Microsoft heeft een patch uitgebracht voor een ernstig lek in Windows. Daarmee kunnen aanvallers digitale certificaten spoofen. Door dat uit te buiten kan versleutelde communicatie worden afgeluisterd of een man-in-the-middle-aanval worden uitgevoerd.

Het gaat om een kwetsbaarheid in Crypt32.dll, een onderdeel binnen Windows dat certificaten valideert. De kwetsbaarheid in Crypt32.dll maakt het mogelijk om Elliptic Curve Cryptography, ofwel ecc-certificaten te spoofen. Windows maakt dergelijke ecc-certificaten onder andere aan bij het afhandelen van https-verkeer. Alle functies in Windows die een X.509-certificaat proberen te valideren tegenover een vertrouwde rootcertificaatautoriteit, kunnen via de kwetsbaarheid in CryptoAPI worden misleid om te denken dat een nagemaakt certificaat legitiem is. Het gaat om vrijwel alle applicaties die te maken hebben met communicatie die via tls versleuteld is. Een aanvaller kan de kwetsbaarheid misbruiken om bijvoorbeeld een geïnfecteerde executable op een systeem naar binnen te krijgen. Na een infectie kan een aanvaller een man-in-the-middle-aanval uitvoeren, of communicatie van het systeem afluisteren. Het lek zit in zowel 32-als 64bit-versies van Windows 10. Ook Windows Server 2016 en Windows Server 2019 zijn kwetsbaar. Volgens Microsoft zijn er voorlopig geen tekenen dat het lek in het wild is misbruikt.

De kwetsbaarheid krijgt de code CVE-2020-0601 mee. Microsoft bracht een fix voor de kwetsbaarheid dinsdag uit tijdens de maandelijkse Patch Tuesday. Die staat bekend als KB4534306. Eerder werd er door sommige media al gespeculeerd dat het bedrijf van het reguliere updateschema af zou stappen om het lek te dichten, omdat dat zo ernstig zou zijn dat er direct een reparatie voor moest komen. Dat blijkt uiteindelijk mee te vallen. De kwetsbaarheid werd ontdekt door de Amerikaanse inlichtingendienst NSA, die het doorspeelde aan Microsoft. De NSA heeft in het verleden vaak kritiek gekregen omdat het dergelijke belangrijke gaten in software zelf gebruikt voor het uitvoeren van inlichtingenmissies. Eerder verloor de NSA al de controle over één zo'n zeroday, genaamd EternalBlue. Later ging de dienst bedrijven waarschuwen om een patch daarvoor toe te passen. Inmiddels heeft de Amerikaanse overheid zelf een waarschuwing voor dit lek naar buiten gebracht. De NSA heeft zelf ook een uitgebreide beschrijving van de kwetsbaarheid gepubliceerd.

Microsoft classificeert de update als 'Belangrijk' en raadt bedrijven aan die zo snel mogelijk te installeren. Ook de NSA waarschuwt daarvoor. "De gevolgen van het niet patchen van deze kwetsbaarheid zijn groot en wijdverspreid", schrijft de inlichtingendienst in zijn beschrijving. "Tools die dit van een afstand kunnen exploiteren worden waarschijnlijk snel gemaakt en verspreid."

Door Tijs Hofmans

Redacteur privacy & security

14-01-2020 • 21:49

68 Linkedin

Submitter: ro3lie

Reacties (68)

Wijzig sortering
Misschien wel geinig om te weten wat er fout ging. Het probleem zit in verificatie van 'Elliptic Curve' versleuteling. Het idee van die versleuteling komt bij de oude Grieken vandaan. Je neemt een tak, hoe knoestiger en bobbeliger hoe beter. Je wikkelt er een lint omheen, en je schrijft je tekst in de lengte richting van de tak op het lint. Als je het lint er af haalt staat de tekst in enigszins willekeurige volgorde. Iedereen die de tak en het lint heeft, kan het lint om tak wikkelen en de tekst weer makkelijk lezen. Je kan dus met een gecurved oppervlak een tekst versleutelen en ontsleutelen.

Bij digitale certificaten wordt het certificaat zelf mede ondertekent door een 'root authority'. Zo'n root authority moet bijvoorbeeld garanderen dat niemand anders certificaten namens Tweakers kan uitgeven, en dat Tweakers ook niet bijvoorbeeld Google.com kan ondertekenen. Als iemand wil controleren of zo'n root authority wel echt het certificaat ondertekent heeft, wordt bij elliptic curve de 'tak' van het certificaat door de 'tak' van de root gestoken. Een beetje zoals in een computer spelletje soms iemand door een tafel kan lopen. Plekken waar de twee oppervlakten elkaar precies raken, die staan genoteerd, en die controleer je. Die raakpunten zijn met complexe curves ontzettende moeilijk te vinden, maar een root authority heeft een eigen privé sleutel, waarmee dat eenvoudig wordt.

Het blijkt dus dat als een aanvaller precies dezelfde curve kiest voor zijn certificaat als die van de root authority, dat het noteren van die raakpunten triviaal is. Want beide 'takken' zijn identiek, dus alle punten op het oppervlak van de ene raken de ander. Of je kiest een punt op het oppervlak, en draait een van de twee rondom dat punt. Dan weet je nog steeds waar het elkaar raakt.

Microsoft's certificaat controle lette er niet op of de curves sterk op elkaar lijken. Waarschijnlijk zullen aanvallers snel door hebben hoe je dit kan misbruiken.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True