Windows 10-fejl giver malware mulighed for at forklæde sig som legitim software

US National Security Agency har advaret Microsoft om en sårbarhed i Windows 10, der kan misbruges for at få malware til at ligne et legitimt program.

Tirsdag frigav Microsoft en patch til at rette fejlen, som også påvirker Windows Server 2016 og Windows Server 2019.

"Spoofing-sårbarheden" involverer operativsystemets CryptoAPI, også kendt som Crypt32.dll, som kan bruges til at kryptere og dekryptere data .

Den samme API kan også validere, om en Windows-applikation er legitim ved at godkende, at programmets digitale certifikat kom fra den betroede softwareudvikler.

NSA afslørede imidlertid en fejl i CryptoAPI's proces, der kan forhindre Windows i fuldstændig godkendelse af et certifikat.

"En angriber kunne udnytte sårbarheden ved at bruge et falsk kodeunderskrivelsescertifikat til at underskrive en ondsindet eksekverbar fil, så det ser ud til, at filen var fra en betroet, legitim kilde," sagde Microsoft i dagens rådgivning.

"Brugeren ville ikke have nogen måde at vide, at filen var skadelig, fordi den digitale signatur ser ud til at være fra en betroet udbyder."

Virksomheden advarede videre om, at sårbarheden kan bane vejen for "mand-i-midten-angreb." Dette kan involvere en hacker, der distribuerer et legitimt program, når det faktisk er blevet rigget til at fungere som spyware.

Den samme sårbarhed kan også falske de krypterede HTTPS-forbindelser over internettet såvel som signerede filer og e-mails, sagde NSA i en sjælden rådgivende offentliggjort tirsdag.

"Sårbarheden sætter Windows-endepunkter i fare for en bred vifte af udnyttelsesvektorer.

NSA vurderer sårbarheden som alvorlig, og at sofistikerede cyberaktører vil forstå den underliggende fejl meget hurtigt, og hvis de udnyttes, ville de tidligere nævnte platforme blive fundamentalt sårbare, "advarede agenturet.

Sårbarheden, der hedder CVE-2020-0601, har fået overskrifter, efter at sikkerhedsjournalisten Brian Krebs oprindeligt rapporterede, at fejlen var "ekstraordinært alvorlig", hvilket resulterede i, at Microsoft stille og roligt sendte en patch til grene af det amerikanske militær og andre værdifulde virksomhedskunder.

Den gode nyhed er, at Microsoft endnu ikke har afdækket nogen, der misbruger sårbarheden.

Ældre operativsystemer, såsom Windows 7, forblev også upåvirket.

Ikke desto mindre forudsiger NSA, at hackere både hurtigt vil oprette og distribuere værktøjer til fjernudnyttelse af fejlen.

Så slemt som CVE-2020-0601 måske lyder, har sårbarheden i sig selv ingen mulighed for at fjerntage over din pc.

Du bliver stadig nødt til at downloade det ondsindede software og udføre det.

Samtidig stoler de fleste brugere på tredjepartsbrowsere fra Google, Mozilla og Apple for at besøge websteder.

I stedet er den virkelige trussel en hacker, der infiltrerer websteder eller servernetværk for at distribuere software, der ser ud til at være legitim, men som faktisk er malware.

Det er sandsynligt, hvorfor NSA opfordrer især virksomheder til at rette fejlen.

"Denne sårbarhed virker muligvis ikke prangende, men det er et kritisk spørgsmål.

Tillidsmekanismer er grundlaget, som Internettet opererer på - og CVE-2020-0601 tillader en sofistikeret trusselsaktør at undergrave netop disse fundament," skrev NSAs tekniske direktør Neal Ziring i et indlæg.

Ifølge Ziring delte agenturet detaljerede oplysninger om CVE-2020-0601 "hurtigt" med Microsoft efter at have opdaget fejlen.

Om NSA nogensinde har brugt sårbarheden til spioneringsformål er ukendt.

Men agenturet har modtaget flak for tidligere at have hemmeligholdt en mere alvorlig Windows-fejl, kaldet EternalBlue, som senere blev brugt af ransomware WannaCry til at angribe pc'er over hele verden i 2017.

Du kan downloade dagens rettelse som en del af Microsofts patch-tirsdagspakke fra virksomhedens websted.

Microsoft udruller også rettelsen til din Windows 10-maskine, hvis du har aktiveret automatiske opdateringer.

US National Security Agency har advaret Microsoft om en sårbarhed i Windows 10, der kan misbruges for at få malware til at ligne et legitimt program.

Tirsdag frigav Microsoft en patch til at rette fejlen, som også påvirker Windows Server 2016 og Windows Server 2019.

"Spoofing-sårbarheden" involverer operativsystemets CryptoAPI, også kendt som Crypt32.dll, som kan bruges til at kryptere og dekryptere data .

Den samme API kan også validere, om en Windows-applikation er legitim ved at godkende, at programmets digitale certifikat kom fra den betroede softwareudvikler.

NSA afslørede imidlertid en fejl i CryptoAPI's proces, der kan forhindre Windows i fuldstændig godkendelse af et certifikat.

"En angriber kunne udnytte sårbarheden ved at bruge et falsk kodeunderskrivelsescertifikat til at underskrive en ondsindet eksekverbar fil, så det ser ud til, at filen var fra en betroet, legitim kilde," sagde Microsoft i dagens rådgivning.

"Brugeren ville ikke have nogen måde at vide, at filen var skadelig, fordi den digitale signatur ser ud til at være fra en betroet udbyder."

Virksomheden advarede videre om, at sårbarheden kan bane vejen for "mand-i-midten-angreb." Dette kan involvere en hacker, der distribuerer et legitimt program, når det faktisk er blevet rigget til at fungere som spyware.

Den samme sårbarhed kan også falske de krypterede HTTPS-forbindelser over internettet såvel som signerede filer og e-mails, sagde NSA i en sjælden rådgivende offentliggjort tirsdag.

"Sårbarheden sætter Windows-endepunkter i fare for en bred vifte af udnyttelsesvektorer.

NSA vurderer sårbarheden som alvorlig, og at sofistikerede cyberaktører vil forstå den underliggende fejl meget hurtigt, og hvis de udnyttes, ville de tidligere nævnte platforme blive fundamentalt sårbare, "advarede agenturet.

Sårbarheden, der hedder CVE-2020-0601, har fået overskrifter, efter at sikkerhedsjournalisten Brian Krebs oprindeligt rapporterede, at fejlen var "ekstraordinært alvorlig", hvilket resulterede i, at Microsoft stille og roligt sendte en patch til grene af det amerikanske militær og andre værdifulde virksomhedskunder.

Den gode nyhed er, at Microsoft endnu ikke har afdækket nogen, der misbruger sårbarheden.

Ældre operativsystemer, såsom Windows 7, forblev også upåvirket.

Ikke desto mindre forudsiger NSA, at hackere både hurtigt vil oprette og distribuere værktøjer til fjernudnyttelse af fejlen.

Så slemt som CVE-2020-0601 måske lyder, har sårbarheden i sig selv ingen mulighed for at fjerntage over din pc.

Du bliver stadig nødt til at downloade det ondsindede software og udføre det.

Samtidig stoler de fleste brugere på tredjepartsbrowsere fra Google, Mozilla og Apple for at besøge websteder.

I stedet er den virkelige trussel en hacker, der infiltrerer websteder eller servernetværk for at distribuere software, der ser ud til at være legitim, men som faktisk er malware.

Det er sandsynligt, hvorfor NSA opfordrer især virksomheder til at rette fejlen.

"Denne sårbarhed virker muligvis ikke prangende, men det er et kritisk spørgsmål.

Tillidsmekanismer er grundlaget, som Internettet opererer på - og CVE-2020-0601 tillader en sofistikeret trusselsaktør at undergrave netop disse fundament," skrev NSAs tekniske direktør Neal Ziring i et indlæg.

Ifølge Ziring delte agenturet detaljerede oplysninger om CVE-2020-0601 "hurtigt" med Microsoft efter at have opdaget fejlen.

Om NSA nogensinde har brugt sårbarheden til spioneringsformål er ukendt.

Men agenturet har modtaget flak for tidligere at have hemmeligholdt en mere alvorlig Windows-fejl, kaldet EternalBlue, som senere blev brugt af ransomware WannaCry til at angribe pc'er over hele verden i 2017.

Du kan downloade dagens rettelse som en del af Microsofts patch-tirsdagspakke fra virksomhedens websted.

Microsoft udruller også rettelsen til din Windows 10-maskine, hvis du har aktiveret automatiske opdateringer.