Ulusal Güvenlik Ajansı(NSA), Microsoft’un işletim sistemleri Windows 10 ve Server 2016/2019’daki sertifika doğrulama prosedüründe kritik bir güvenlik açığı bulduğunu Microsoft’a bildirdi. NSA’nın MS17-010’da olduğu gibi bulduğu zafiyeti kullanmak yerine Microsoft’a bildirmesi dikkat çekti.
CVE-2020-0601 kodlu güvenlik açığı, Windows’un kriptografik işlemler için kullanılan CryptoAPI(Crypt32.dll)’da bulunuyor ve Eliptik Eğri Şifreleme(ECC) kullanan sertifikaların güvenilirliği sağlama süreçlerini atlatmasına ve spoof etmesine olanak sağlıyor. Windows üzerinde çalışan çoğu yazılım kod imzalama, güvenli iletişim, kimlik doğrulama gibi işlemlerde CryptoAPI kullandığı için güvenlik açığının exploit edilmesinde oluşacak etki daha da artıyor.
Örnek bir senaryoda zafiyeti başarılı bir şekilde exploit eden saldırgan, sahte bir kod imzalama sertifikası ile herhangi bir dosyayı güvenli bir kaynaktan geliyor gibi gösterebilir, geçerli bir X.509 sertifika zincirini spoof ederek hedefin TLS ile şifrelenmiş iletişimini dinleyebilir ve üzerinde değişiklik yapabilir.
NSA ve Microsoft’un yaptığı açıklamada, eldeki verilere göre CVE-2020-0601’in herhangi bir yerde exploit edildiğine rastlanılmadığını belirtildi. Saldırı tekniği NSA tarafından genele açıldığı için yakın zamanda saldırganlar tarafından exploit denemeleri gözlemlenebilir.
Microsoft, güvenlik açığından etkilenmemek için kullanıcıların acil olarak güncellemelerini yapmasını tavsiye ediyor. Microsoft, yayınladığı güvenlik güncellemesinin yanında, zafiyet kullanılarak yapılacak saldırı denemelerini yakalamak için bir loglama mekanizması eklediğini belirtti.
Zafiyetten etkilenen işletim sistemlerinin detaylı bilgilerine buradan erişebilirsiniz. NSA’in hazırladığı teknik rapora buradan erişebilirsiniz.