Windows 10 Flaw låter skadlig programvara dölja sig som legitim programvara

US National Security Agency har varnat Microsoft för en sårbarhet i Windows 10 som kan missbrukas för att få skadlig programvara att se ut som ett legitimt program.

På tisdag släppte Microsoft en korrigering för att åtgärda felet, vilket också påverkar Windows Server 2016 och Windows Server 2019.

"Spoofing-sårbarheten" involverar operativsystemets CryptoAPI, även känd som Crypt32.dll, som kan användas för att kryptera och dekryptera data .

Samma API kan också verifiera om ett Windows-program är legitimt genom att verifiera att programmets digitala certifikat kommer från den pålitliga programutvecklaren.

NSA avslöjade dock en brist i CryptoAPI-processen som kan förhindra Windows från att fullständigt autentisera ett certifikat.

"En angripare kan utnyttja sårbarheten genom att använda ett falskt kodsigneringscertifikat för att underteckna en skadlig körbar fil, vilket gör att det verkar som om filen är från en pålitlig, legitim källa", sa Microsoft i dagens rådgivning.

"Användaren skulle inte ha något sätt att veta att filen var skadlig, eftersom den digitala signaturen verkar vara från en betrodd leverantör."

Företaget fortsatte med att varna sårbarheten kan bana väg för "man-i-mitten-attacker." Detta kan innebära att en hackare distribuerar ett legitimt program när det faktiskt har varit riggat för att fungera som spionprogram.

Samma sårbarhet kan också förfalska de krypterade HTTPS-anslutningarna över internet, liksom signerade filer och e-postmeddelanden, sade NSA i en sällsynt rådgivande publicering på tisdag.

"Sårbarheten riskerar Windows-slutpunkter för ett brett spektrum av exploateringsvektorer.

NSA bedömer att sårbarheten är allvarlig och att sofistikerade cyberaktörer kommer att förstå den underliggande bristen mycket snabbt och om de utnyttjas skulle de tidigare nämnda plattformarna vara fundamentalt sårbara, "varnade byrån.

Sårbarheten, kallad CVE-2020-0601, har tagit rubriker efter att säkerhetsjournalisten Brian Krebs ursprungligen rapporterade att bristen var "utomordentligt allvarlig", vilket resulterade i att Microsoft tyst skickade en lapp till filialer av den amerikanska militären och andra högt värderade företagskunder.

Den goda nyheten är att Microsoft ännu inte har upptäckt någon som missbrukar sårbarheten.

Äldre operativsystem, till exempel Windows 7, förblev också opåverkade.

Ändå förutspår NSA att hackare både snabbt kommer att skapa och distribuera verktyg för att fjärrutnyttja bristen.

Så dåligt som CVE-2020-0601 kan låta har sårbarheten i sig ingen möjlighet att fjärrövertaga din dator.

Du måste fortfarande ladda ner den skadliga programvaran och köra den.

Samtidigt litar de flesta användare på webbläsare från tredje part från Google, Mozilla och Apple för att besöka webbplatser.

Istället är det verkliga hotet en hackare som infiltrerar webbplatser eller servernätverk för att distribuera programvara som verkar vara legitim, men som faktiskt är skadlig kod.

Det är troligt varför NSA uppmanar särskilt företag att korrigera bristen.

"Den här sårbarheten kanske inte verkar prickig, men det är en kritisk fråga.

Förtroendemekanismer är de grundvalar som internet fungerar på - och CVE-2020-0601 tillåter en sofistikerad hotaktör att undergräva just dessa stiftelser", skrev NSAs tekniska chef Neal Ziring i ett inlägg.

Enligt Ziring delade byrån information om CVE-2020-0601 "snabbt" med Microsoft efter att ha upptäckt bristen.

Huruvida NSA någonsin använt sårbarheten för spioneringsändamål är okänd.

Men byrån har fått flak för att tidigare ha hemligt en allvarligare Windows-bugg, kallad EternalBlue, som senare användes av ransomware WannaCry för att attackera datorer över hela världen 2017.

Du kan ladda ner dagens fix som en del av Microsofts patch-tisdagspaket från företagets webbplats.

Microsoft kommer också att lansera korrigeringen till din Windows 10-maskin om du har aktiverat automatiska uppdateringar.

US National Security Agency har varnat Microsoft för en sårbarhet i Windows 10 som kan missbrukas för att få skadlig programvara att se ut som ett legitimt program.

På tisdag släppte Microsoft en korrigering för att åtgärda felet, vilket också påverkar Windows Server 2016 och Windows Server 2019.

"Spoofing-sårbarheten" involverar operativsystemets CryptoAPI, även känd som Crypt32.dll, som kan användas för att kryptera och dekryptera data .

Samma API kan också verifiera om ett Windows-program är legitimt genom att verifiera att programmets digitala certifikat kommer från den pålitliga programutvecklaren.

NSA avslöjade dock en brist i CryptoAPI-processen som kan förhindra Windows från att fullständigt autentisera ett certifikat.

"En angripare kan utnyttja sårbarheten genom att använda ett falskt kodsigneringscertifikat för att underteckna en skadlig körbar fil, vilket gör att det verkar som om filen är från en pålitlig, legitim källa", sa Microsoft i dagens rådgivning.

"Användaren skulle inte ha något sätt att veta att filen var skadlig, eftersom den digitala signaturen verkar vara från en betrodd leverantör."

Företaget fortsatte med att varna sårbarheten kan bana väg för "man-i-mitten-attacker." Detta kan innebära att en hackare distribuerar ett legitimt program när det faktiskt har varit riggat för att fungera som spionprogram.

Samma sårbarhet kan också förfalska de krypterade HTTPS-anslutningarna över internet, liksom signerade filer och e-postmeddelanden, sade NSA i en sällsynt rådgivande publicering på tisdag.

"Sårbarheten riskerar Windows-slutpunkter för ett brett spektrum av exploateringsvektorer.

NSA bedömer att sårbarheten är allvarlig och att sofistikerade cyberaktörer kommer att förstå den underliggande bristen mycket snabbt och om de utnyttjas skulle de tidigare nämnda plattformarna vara fundamentalt sårbara, "varnade byrån.

Sårbarheten, kallad CVE-2020-0601, har tagit rubriker efter att säkerhetsjournalisten Brian Krebs ursprungligen rapporterade att bristen var "utomordentligt allvarlig", vilket resulterade i att Microsoft tyst skickade en lapp till filialer av den amerikanska militären och andra högt värderade företagskunder.

Den goda nyheten är att Microsoft ännu inte har upptäckt någon som missbrukar sårbarheten.

Äldre operativsystem, till exempel Windows 7, förblev också opåverkade.

Ändå förutspår NSA att hackare både snabbt kommer att skapa och distribuera verktyg för att fjärrutnyttja bristen.

Så dåligt som CVE-2020-0601 kan låta har sårbarheten i sig ingen möjlighet att fjärrövertaga din dator.

Du måste fortfarande ladda ner den skadliga programvaran och köra den.

Samtidigt litar de flesta användare på webbläsare från tredje part från Google, Mozilla och Apple för att besöka webbplatser.

Istället är det verkliga hotet en hackare som infiltrerar webbplatser eller servernätverk för att distribuera programvara som verkar vara legitim, men som faktiskt är skadlig kod.

Det är troligt varför NSA uppmanar särskilt företag att korrigera bristen.

"Den här sårbarheten kanske inte verkar prickig, men det är en kritisk fråga.

Förtroendemekanismer är de grundvalar som internet fungerar på - och CVE-2020-0601 tillåter en sofistikerad hotaktör att undergräva just dessa stiftelser", skrev NSAs tekniska chef Neal Ziring i ett inlägg.

Enligt Ziring delade byrån information om CVE-2020-0601 "snabbt" med Microsoft efter att ha upptäckt bristen.

Huruvida NSA någonsin använt sårbarheten för spioneringsändamål är okänd.

Men byrån har fått flak för att tidigare ha hemligt en allvarligare Windows-bugg, kallad EternalBlue, som senare användes av ransomware WannaCry för att attackera datorer över hela världen 2017.

Du kan ladda ner dagens fix som en del av Microsofts patch-tisdagspaket från företagets webbplats.

Microsoft kommer också att lansera korrigeringen till din Windows 10-maskin om du har aktiverat automatiska uppdateringar.