CERTFR-2020-ALE-004
Vulnerability from certfr_alerte

[Mise à jour du 17 janvier 2020 : informations complémentaires et clarification sur les impacts]

Une vulnérabilité affecte la bibliothèque cryptographique CryptoAPI (CAPI, crypt32.dll) de Microsoft Windows 10, Windows Server 2016 et Windows Server 2019.

Depuis 2015, la bibliothèque CryptoAPI sait gérer les algorithmes cryptographiques basés sur les courbes elliptiques (ECC). La vulnérabilité impacte la fonction de vérification de validité de certificat numérique lorsque ceux-ci sont signés par une autorité de certification qui s'appuie sur la cryptographie ECC.

La cryptographie ECC utilise des algorithmes asymétriques pour lesquels il est nécessaire d'avoir deux clés, l'une publique et l'autre privée, afin de pouvoir chiffrer et signer des informations entre deux correspondants.

La vulnérabilité affecte le contrôle, par la bibliothèque CryptoAPI, des clés publiques ECC présentes dans les certificats. Ce défaut permet à un attaquant de produire un certificat intermédiaire pour lequel il disposera donc de la clé privée. Ce certificat sera considéré comme une nouvelle ancre de confiance valide par la bibliothèque CryptoAPI. L'attaquant sera alors en mesure de signer un second certificat usurpant l'identité d'un site ou d'un utilisateur.

Pour les systèmes affectés et les applications utilisant cette bibliothèque CryptoAPI, les impacts peuvent être les suivants :

  • possibilité de signer un code logiciel malveillant et de le faire reconnaître comme légitime ;
  • possibilité de falsifier l'identité d'un utilisateur ou d'un serveur lors de l'établissement d'une connexion TLS ;
  • possibilité de falsifier l'identité de l'émetteur d'un message électronique signé.

Le CERT-FR insiste sur l'urgence d'appliquer la mise à jour mensuelle dans les plus brefs délais. Ce correctif n'a aucun impact sur le fonctionnement du système d'exploitation et des applications, il vise uniquement à ajouter les contrôles de sécurité manquants dans la bibliothèque.

Si le déploiement doit être réalisé en plusieurs vagues, il est suggéré de procéder par ordre de priorité en privilégiant d'abord :

  • les équipements accessibles sur Internet, basés sur Microsoft Windows, et qui mettent en place des services basés sur une authentification par certificat X.509 ;
  • les équipements d'infrastructures et de sécurité basé sur Microsoft Windows  (notamment les contrôleurs de domaine Active Directory, les serveurs centralisant les déploiements de logiciels, les passerelles antivirus, etc.) ;
  • les postes de travail basés sur Microsoft Windows 10.

Le navigateur Firefox n'utilise pas la bibliothèque CryptoAPI mais la bibliothèque NSS et n'est donc pas affecté par la vulnérabilité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
Microsoft Windows Windows Server 2019
Microsoft Windows Microsoft Windows 10
Microsoft Windows Windows Server 2016
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows Server 2019",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows 10",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2016",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2020-03-24",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2020-0601",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-0601"
    }
  ],
  "initial_release_date": "2020-01-14T00:00:00",
  "last_revision_date": "2020-01-17T00:00:00",
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2020-AVI-026 du 14 janvier 2020",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-026/"
    }
  ],
  "reference": "CERTFR-2020-ALE-004",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-01-14T00:00:00.000000"
    },
    {
      "description": "informations compl\u00e9mentaires et clarification sur les impacts",
      "revision_date": "2020-01-17T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "\u003cstrong\u003e\\[Mise \u00e0 jour du 17 janvier 2020 : informations compl\u00e9mentaires et\nclarification sur les impacts\\]\u003c/strong\u003e\n\nUne vuln\u00e9rabilit\u00e9 affecte la biblioth\u00e8que cryptographique *CryptoAPI\n(CAPI, crypt32.dll)* de Microsoft Windows 10, Windows Server 2016 et\nWindows Server 2019.\n\nDepuis 2015, la biblioth\u00e8que *CryptoAPI* sait g\u00e9rer les algorithmes\ncryptographiques bas\u00e9s sur les courbes elliptiques (*ECC*). La\nvuln\u00e9rabilit\u00e9 impacte la fonction de v\u00e9rification de validit\u00e9 de\ncertificat num\u00e9rique lorsque ceux-ci sont sign\u00e9s par une autorit\u00e9 de\ncertification qui s\u0027appuie sur la cryptographie *ECC*.\n\nLa cryptographie *ECC* utilise des algorithmes asym\u00e9triques pour\nlesquels il est n\u00e9cessaire d\u0027avoir deux cl\u00e9s, l\u0027une publique et l\u0027autre\npriv\u00e9e, afin de pouvoir chiffrer et signer des informations entre deux\ncorrespondants.\n\nLa vuln\u00e9rabilit\u00e9 affecte le contr\u00f4le, par la biblioth\u00e8que *CryptoAPI*,\ndes cl\u00e9s publiques ECC pr\u00e9sentes dans les certificats. Ce d\u00e9faut permet\n\u00e0 un attaquant de produire un certificat interm\u00e9diaire pour lequel il\ndisposera donc de la cl\u00e9 priv\u00e9e. Ce certificat sera consid\u00e9r\u00e9 comme une\nnouvelle ancre de confiance valide par la biblioth\u00e8que *CryptoAPI*.\nL\u0027attaquant sera alors en mesure de signer un second certificat usurpant\nl\u0027identit\u00e9 d\u0027un site ou d\u0027un utilisateur.\n\nPour les syst\u00e8mes affect\u00e9s et les applications utilisant cette\nbiblioth\u00e8que *CryptoAPI*, les impacts peuvent \u00eatre les suivants :\n\n-   possibilit\u00e9 de signer un code logiciel malveillant et de le faire\n    reconna\u00eetre comme l\u00e9gitime ;\n-   possibilit\u00e9 de falsifier l\u0027identit\u00e9 d\u0027un utilisateur ou d\u0027un serveur\n    lors de l\u0027\u00e9tablissement d\u0027une connexion TLS ;\n-   possibilit\u00e9 de falsifier l\u0027identit\u00e9 de l\u0027\u00e9metteur d\u0027un message\n    \u00e9lectronique sign\u00e9.\n\n\u00a0\n\n\u003cstrong\u003eLe CERT-FR insiste sur l\u0027urgence d\u0027appliquer la mise \u00e0 jour mensuelle\ndans les plus brefs d\u00e9lais\u003c/strong\u003e. Ce correctif n\u0027a aucun impact sur le\nfonctionnement du syst\u00e8me d\u0027exploitation et des applications, il vise\nuniquement \u00e0 ajouter les contr\u00f4les de s\u00e9curit\u00e9 manquants dans la\nbiblioth\u00e8que.\n\nSi le d\u00e9ploiement doit \u00eatre r\u00e9alis\u00e9 en plusieurs vagues, il est sugg\u00e9r\u00e9\nde proc\u00e9der par ordre de priorit\u00e9 en privil\u00e9giant d\u0027abord :\n\n-   les \u00e9quipements accessibles sur Internet, bas\u00e9s sur Microsoft\n    Windows, et qui mettent en place des services bas\u00e9s sur une\n    authentification par certificat X.509 ;\n-   les \u00e9quipements d\u0027infrastructures et de s\u00e9curit\u00e9 bas\u00e9 sur Microsoft\n    Windows\u00a0 (notamment les contr\u00f4leurs de domaine Active Directory, les\n    serveurs centralisant les d\u00e9ploiements de logiciels, les passerelles\n    antivirus, etc.) ;\n-   les postes de travail bas\u00e9s sur Microsoft Windows 10.\n\n\u00a0\n\nLe navigateur Firefox n\u0027utilise pas la biblioth\u00e8que *CryptoAPI* mais la\nbiblioth\u00e8que *NSS* et n\u0027est donc pas affect\u00e9 par la vuln\u00e9rabilit\u00e9.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Note de publication Microsoft du 14 janvier 2020",
      "url": "https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/2020-Jan"
    },
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Microsoft du 14 janvier 2020",
      "url": "https://portal.msrc.microsoft.com/fr-FR/security-guidance"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.