Microsoft ocak güvenlik bülteninde çeşitli ürünlerinde 49 yeni güvenlik açığı konusunda kullanıcılarını uyardı. Güncellemelerden birinin Ulusal Güvenlik Ajansı (NSA) tarafından keşfedilen ve Microsoft’a bildirilen bir hata olduğuna dikkat çekiliyor[1]. Bu, Windows 10, Server 2016 ve 2019 sürümlerinin çekirdek şifreleme bileşenindeki ciddi bir hatayla ilgili [2].
Nesi ilginç derseniz, NSA daha önce bulduğu açıkları kendisi kullanmak için raporlamıyordu. İlk defa bir açığı raporladığı görüldü.
CVE-2020-0601: Windows CryptoAPI Kimlik Sahtekarlığı Güvenlik Açığı
Microsoft, CVE-2020-0601 ile kodladığı hatayı güvenlik bülteninde “NSACrypt” olarak adlandırmış. Bu Windows’un veri şifreleme ve çözme işlemi için kullanılan Crypto API tarafından kullanılan Crypt32.dll içinde bulunuyor. Sorun, Crypt32.dll modülünün şu anda ortak anahtar şifrelemesi için endüstri standardı olan ve SSL / TLS sertifikalarının çoğunda kullanılan Eliptik Eğri Şifreleme (ECC) sertifikalarını doğrulama biçiminde yatıyor. Güvenlik açığı, HTTPS bağlantılarını, imzalı dosyalar ve e-postaları, kullanıcı modu işlemleri olarak başlatılan imzalı yürütülebilir kodları etkileyebiliyor.
Kusurun teknik detayları henüz kamuya açık değil. Microsoft, açığın saldırganların yazılım üzerindeki dijital imzaları taklit etmelerine izin vererek, işletim sistemini kötü niyetli yazılımların kimliğini taklit ederken kandırmak için izin veriyor.
“Saldırgan, kötü amaçlı bir yürütülebilir dosyayı imzalamak için sahte bir kod imzalama sertifikası kullanarak bu güvenlik açığından yararlanabilir, bu da dosyanın güvenilir ve meşru bir kaynaktan geldiğini gösterir. Kullanıcı, dijital imza nedeniyle dosyanın kötü amaçlı olduğunu bilmenin hiçbir yolu olmaz güvenilir bir sağlayıcıdan geliyor gibi görünüyor. “
Bunun yanı sıra, CryptoAPI’deki kusur, uzaktaki ortadaki adam saldırganlarının web sitelerini taklit etmelerini veya etkilenen yazılıma kullanıcı bağlantıları hakkındaki gizli bilgilerin şifresini çözmelerini kolaylaştırabilir.
Microsoft, önem derecesi bakımından ‘önemli’ olarak derecelendirilen Windows CryptoAPI kimlik sahtekarlığı güvenlik açığının yanı sıra, 8 tanesi kritik ve diğer 40 tanesi de önemli olan 48 diğer güvenlik açığı için yama yayınladı.
[1] Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers
[2] CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability – Security Vulnerability