CVE-2020-0601 / VULNÉRABILITÉ DANS LE CRYPTOAPI DE WINDOWS (CRYPT32.DLL)

Exécution d'un cheval de Troie signé avec un exploit de la CVE-2020-0601

Une vulnérabilité de type usurpation d’identité (spoofing) a été découverte dans la façon dont la bibliothèque cryptographique de Windows (crypt32.dll) valide les certificats composés de courbes elliptiques (ECC).

Une exploitation réussie de cette faille pourrait mener à des attaques de « l’homme du milieu » (MitM) ou encore déchiffrer des données confidentielles. Seuls Windows 10, Windows Server 16 et 19 sont concernés par cette vulnérabilité.

bulletin DE SECURITE DE TEHTRIS

DÉTAILS TECHNIQUES

Un attaquant pourrait notamment exploiter cette vulnérabilité en signant un code malveillant et en le faisant apparaître comme provenant d’une source légitime. L’utilisateur n’aurait alors aucun moyen de savoir que le fichier était en fait malveillant car la signature numérique apparaîtrait comme provenant d’une autorité de certification reconnue.

Tout logiciel dépendant de la fonction CertGetCertificateChain() de cette librairie pour s’assurer que le certificat est d’autorité reconnue pourrait alors être incapable de le faire correctement et ainsi être trompé dans la détermination de l’authenticité de cette chaîne de certification.

La bibliothèque concernée par cette faille (crypt32.dll) a été introduit par Microsoft il y a une vingtaine d’années (sous Windows NT 4.0). Toutefois, les anciennes versions de Windows ne sont pas concernées car elles rejettent nativement des courbes elliptiques dotées de paramètres.

SYSTÈMES AFFECTÉS

  • Windows 10
  • Windows Server 2016 and 2019

REMÉDIATIONS / MISES À JOUR

Afin de remédier à la CVE-2020-0601, Il est nécessaire de mettre à jour votre système d’exploitation avec les derniers patchs de sécurité disponibles sur le site de Microsoft.

Pour ce faire, il est conseillé de forcer la mise à jour en écrivant « mise à jour » dans la barre de recherche et en sélectionnant « rechercher des nouvelles mises à jour ». Le système va alors automatiquement procéder à la recherche des dernières mises à jour et les effectuer si nécessaire.

RECOMMANDATIONS ET RéPONSE DE TEHTRIS

DETECTION DE L'ATTAQUE avec tehtris edr

TEHTRIS EDR intègre désormais une nouvelle capacité afin de détecter les tentatives d’exploitation de la vulnérabilité CVE-2020-0601 via une analyse poussée des signatures des logiciels et une validation cryptographique sophistiquée pour comprendre qu’un binaire a été construit pour abuser de la faille en question.

Au moment de l’écriture de ces lignes, il s’agit du tout premier EDR (Endpoint Detection and Response) dans le monde avec une telle option puisqu’elle offre la possibilité de trouver l’attaque sur des machines Windows qui n’ont pas encore été mises à jour, avec l’ancienne version de CRYPT32.DLL vulnérables.

Cette fonctionnalité offre plusieurs possibilités aux utilisateurs de TEHTRIS EDR

– Avoir une souplesse dans le calendrier des mises à jour de Windows, notamment sur les infrastructures ayant des contraintes particulières au niveau production.

– Avoir la capacité de détecter les tentatives d’attaques grâce à une centralisation simple et une visibilité des logs au niveau de la console unifiée de la TEHTRIS XDR Platform.

– Avoir la possibilité d’effectuer des sessions de hunting et de forensics grâce aux outils associés de la TEHTRIS XDR Platform. Un responsable sécurité voudra lancer une autopsie d’une machine essayant une attaque CVE-2020-0601 car il s’agit d’une preuve comme quoi un intrus a réussi à obtenir un premier niveau d’accès.

Figure 0

IDENTIFICATION DES POSTES VULNERABLES

Le produit TEHTRIS EDR possède un module de recherche de vulnérabilités. Il peut ainsi identifier les postes vulnérables à cette faille (Figure 1). Les équipes de cybersécurité peuvent ainsi suivre le déploiement des mises à jour et identifier les zones à risque en terme de politique de Patch Management.

Figure 1

GENERATION ET RECUPERATION DES JOURNAUX D’EVENEMENTS WINDOWS

Devant l’importance de l’impact de la faille CVE-2020-0601, Microsoft a développé un patch qui va générer une entrée dans le journal d’évènements afin d’offre la possibilité de détecter une exploitation de cette vulnérabilité. Ces nouveaux journaux d’évènements Windows font partie d’un catalogue nommé « Microsoft-Windows-Audit-CVE ou Audit-CVE ». Sur un Windows non mis à jour, l’attaque ne sera pas détectée.

Malheureusement, sur des systèmes Windows non patchés, l’attaque ne pourra pas être détectée par Windows (mais TEHTRIS EDR peut le faire pour vous).
Dès la sortie des annonces de la part de Microsoft, une action rapide a été mise en place par TEHTRIS afin de récupérer ces journaux d’événements Windows et de les intégrer au module SIEM tactique intégré dans TEHTRIS EDR, pour les serveurs et les postes de travail.