Des sources disent à BreachTrace que Microsoft Corp. devrait publier mardi une mise à jour logicielle pour corriger une vulnérabilité de sécurité extrêmement grave dans un composant cryptographique de base présent dans toutes les versions de les fenêtres. Ces sources affirment que Microsoft a discrètement envoyé un correctif pour le bogue aux branches de l’armée américaine et à d’autres clients/cibles de grande valeur qui gèrent l’infrastructure Internet clé, et que ces organisations ont été invitées à signer des accords les empêchant de divulguer les détails de la faille avant le 14 janvier, le premier Patch Tuesday de 2020.
Selon les sources, la vulnérabilité en question réside dans un composant Windows connu sous le nom de crypt32.dll, un module Windows qui, selon Microsoft, gère « les fonctions de certificat et de messagerie cryptographique dans CryptoAPI ». le Microsoft CryptoAPI fournit des services permettant aux développeurs de sécuriser les applications Windows à l’aide de la cryptographie et inclut des fonctionnalités de chiffrement et de déchiffrement des données à l’aide de certificats numériques.
Une vulnérabilité critique dans ce composant Windows pourrait avoir des implications de sécurité étendues pour un certain nombre de fonctions importantes de Windows, y compris l’authentification sur les postes de travail et les serveurs Windows, la protection des données sensibles gérées par les navigateurs Internet Explorer/Edge de Microsoft, ainsi qu’un certain nombre de applications et outils tiers.
Tout aussi préoccupant, une faille dans crypt32.dll peuvent également être utilisés de manière abusive pour usurper la signature numérique liée à un logiciel spécifique. Une telle faiblesse pourrait être exploitée par des attaquants pour faire apparaître un logiciel malveillant comme un programme bénin produit et signé par un éditeur de logiciels légitime.
Ce composant a été introduit dans Windows il y a plus de 20 ans — de retour en Windows NT 4.0. Par conséquent, toutes les versions de Windows sont susceptibles d’être affectées (y compris Windows XP, qui n’est plus pris en charge par les correctifs de Microsoft).
Microsoft n’a pas encore répondu aux demandes de commentaires. Cependant, BreachTrace a entendu des rumeurs de plusieurs sources au cours des dernières 48 heures selon lesquelles ce Patch Tuesday (demain) inclura une doozy d’une mise à jour qui devra être traitée immédiatement par toutes les organisations exécutant Windows.
Mise à jour à 19 h 49 HE : Microsoft a répondu en disant qu’il ne discutait pas des détails des vulnérabilités signalées avant qu’une mise à jour ne soit disponible. La société a également déclaré qu’elle «ne publie pas de mises à jour prêtes pour la production avant le calendrier régulier de la mise à jour du mardi. « Grâce à notre Programme de validation des mises à jour de sécurité (SUVP), nous publions des versions avancées de nos mises à jour à des fins de validation et de test d’interopérabilité dans des environnements de laboratoire », a déclaré Microsoft dans un communiqué écrit. « Les participants à ce programme sont contractuellement interdits d’appliquer le correctif à tout système en dehors de cet objectif et ne peuvent pas l’appliquer à l’infrastructure de production. »
Histoire originale :
Will Dormanun chercheur en sécurité qui est l’auteur de nombreux rapports de vulnérabilité pour le Centre de coordination CERT (CERT-CC), tweeté aujourd’hui que «les gens devraient peut-être faire très attention à installer les mises à jour Microsoft Patch Tuesday de demain en temps opportun. Encore plus que d’autres. Je ne sais pas… appelez ça une intuition ? Dormann a refusé de donner des détails sur ce teaser.
Il se pourrait que le moment et le sujet ici (cryptographie) n’est rien de plus qu’une coïncidence, mais BreachTrace a reçu aujourd’hui un avertissement du Agence de sécurité nationale des États-Unis (NSA) déclarant que le directeur de la cybersécurité de la NSA Anne Neuberger est prévu d’organiser un appel le 14 janvier avec les médias d’information qui « fourniront une notification préalable d’un problème de cybersécurité actuel de la NSA ».
Les responsables des affaires publiques de la NSA n’ont pas répondu aux demandes d’informations supplémentaires sur la nature ou le but de la discussion. L’invitation de l’agence indiquait seulement que l’appel « reflète les efforts de la NSA pour renforcer le dialogue avec les partenaires de l’industrie concernant son travail dans le domaine de la cybersécurité ».
Restez à l’écoute pour la couverture de demain du Patch Tuesday et éventuellement plus d’informations sur cette vulnérabilité particulière.
Mise à jour, 14 janvier, 9 h 20 HE : Neuberger de la NSA a déclaré lors d’un appel aux médias ce matin que l’agence avait effectivement signalé cette vulnérabilité à Microsoft, et que c’était la première fois que Microsoft créditait la NSA d’avoir signalé une faille de sécurité. Neuberger a déclaré que les chercheurs de la NSA ont découvert le bogue dans leurs propres recherches, et que l’avis de Microsoft plus tard dans la journée indiquera que Microsoft n’en a encore vu aucune exploitation active.
Selon la NSA, le problème existe dans Windows 10 et Windows Server 2016. Lorsqu’on lui a demandé pourquoi la NSA se concentrait sur cette vulnérabilité particulière, Neuberger a déclaré que la préoccupation était qu’elle « rend la confiance vulnérable ». L’agence a refusé de dire quand elle a découvert la faille et qu’elle attendrait que Microsoft publie un correctif plus tard dans la journée avant de discuter de plus amples détails sur la vulnérabilité.
Mise à jour, 13 h 47 HE : Microsoft a publié des mises à jour pour cette faille (CVE-2020-0601). Leur avis est ici. Les NSA rédaction (PDF) comprend un peu plus de détails, tout comme l’avis du CERT.