Microsoft a publié aujourd’hui le correctif concernant la vulnérabilité référencée CVE-2020-0601, identifiée par la NSA et publiée dans le cadre de leur opération de communication « Turn a New Leaf ».
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Cette vulnérabilité affecte le mécanisme garantissant la validité de la signature d’un certificat. Seules les signatures réalisées grâce à des courbes elliptiques et vérifiées par un système Windows vulnérable sont concernées.
Son exploitation permettait de contourner la vérification de l’authenticité d’une communication, de logiciels, de fichiers ou d’e-mails utilisant un certificat affecté par cette vulnérabilité. Ainsi, un utilisateur n’aurait par exemple aucun moyen de savoir si sa communication était interceptée par un acteur malveillant.
Des chercheurs ont d’ores et déjà réussi à exploiter cette vulnérabilité et des codes d’exploitation publics ont été publiés.
Identification
La tentative d’exploitation de cette vulnérabilité sur un système à jour est détectée par Windows Defender Antivirus et génère une entrée dans les logs possédant l’Event ID 1, dans la catégorie « Windows Logs/Application ».
Certaines techniques de détection et d’investigation ont été identifiées :
– Règles SNORT :
- 1:52593 <-> DISABLED <-> OS-WINDOWS Microsoft Windows CryptoAPI signed binary with spoofed certificate attempt (os-windows.rules)
- 1:52594 <-> DISABLED <-> OS-WINDOWS Microsoft Windows CryptoAPI signed binary with spoofed certificate attempt (os-windows.rules)
- 1:52595 <-> DISABLED <-> OS-WINDOWS Microsoft Windows CryptoAPI signed binary with spoofed certificate attempt (os-windows.rules)
- 1:52596 <-> DISABLED <-> OS-WINDOWS Microsoft Windows CryptoAPI signed binary with spoofed certificate attempt (os-windows.rules)
– Identification d’évènements de ce type dans les logs via PowerShell :
Get-WinEvent -FilterHashtable @{ LogName = ‘Application’; Id = 1; ProviderName = ‘Microsoft-Windows-Audit-CVE’ } | select -Property * -ExcludeProperty MachineName, UserId
– Identifier un système non vulnérable :
- Timestamp de la signature du fichier C:WindowsSystem32crypt32.dll : « Friday 3 january 2020 06:14:45 »
- Version de la DLL : « 10.0.18362.592 »
- Empreintes :
- CRC32: 2B82D538
- CRC64: 14D5AADB0BD14B22
- SHA256: E832E3A58B542E15A169B1545CE82451ACE19BD361FD81764383048528F9B540
- SHA1: 7A9DD389B0E3C124D4BFE5C1FF15F9A93285514F
- BLAKE2sp: EEE317CD4E1C395DD1DBCA3DCD066728FAE00250D6884EA63B9F6CAD83C14610
Se référer au dépôt GitHub de SwitHak pour plus de détails sur les techniques de contournement connues actuellement.
Références
Windows CryptoAPI Spoofing Vulnerability
Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers
Objet: Vulnérabilité dans Microsoft Windows
COMMENTARY ON CVE-2020-0601
A Very Important Patch Tuesday
No fancy EDR required to capture CVE-2020-0601 attempts (after patching)
Exploit:Win32/CVE-2020-0601.A
Exploit:Win32/CVE-2020-0601.B
A PoC for CVE-2020-0601
PoC for CVE-2020-0601