Protégez Windows 10 et Windows Server contre la faille NSA (CryptoAPI)
Là faille de sécurité découverte dans Windows 10, Windows Server 2019 et Windows Server 2016 par des techniciens NSA (Agence de Sécurité Nationale) et corrigée par Microsoft le 14 janvier 2020, pourraient être exploitées pour faciliter un large éventail d’attaques. Parmi les modes d’agression qui pourraient être utilisés plus fréquemment, il y a la possibilité de modifier les sujets auxquels appartiennent les certificats numériques, à la fois sur le Web et localement, en faisant apparaître les pages malveillantes comme des fichiers exécutables sûrs (et fabriqués par des entreprises connues / de confiance) et dangereux tels que développés par des sujets universellement reconnus.
Dans les articles Vulnérabilité dans la bibliothèque Windows Crypt32.dll: attention à l’origine des fichiers est Faites-le dans Windows CryptoAPI: les premiers exemples de code d’exploitation arrivent nous avons vu que le problème de sécurité concerne la bibliothèque CryptoAPI Windows (Crypt32.dll) qui ne valide pas correctement les certificats ECC (Cryptographie à courbe elliptique).
Les correctifs Microsoft pour les systèmes Windows 7, Windows Server 2019 et Windows Server 2016 ainsi que celui pour Google Chrome vous permettent de résoudre le problème et d’être averti, au moins lorsqu’une page Web tente d’exploiter le problème.
Dans le bulletin faisant référence à la vulnérabilité avec l’identifiant CVE-2020-0601, au paragraphe Mises à jour de sécurité, à la colonne Article, Les mises à jour Microsoft sont indiquées qui – pour chaque version de Windows – vous permettent de résoudre le problème.Utilisateurs de Windows 10 version 1909 et 1903Par exemple, ils peuvent vérifier que la protection a été installée en vérifiant – dans l’historique de Windows Update – la présence de la mise à jour KB4528760.
Ceux qui utilisent Windows 10 version 1809 doivent vérifier l’installation réussie de la mise à jour KB4534273, ceux qui utilisent Windows 10 version 1803 du correctif KB4534293.
Bien que les versions 1803, 1709 et 1607 de Windows 10 ne soient plus prises en charge par Microsoft (voir le tableau publié à cette adresse), compte tenu de la gravité du problème, Microsoft a décidé de distribuer des mises à jour spéciales via Windows Update également pour ces versions de Windows 10 désormais obsolète.
Pour vérifier la protection réelle contre les attaques Web (pages Web qui apparaissent comme ce qu’elles n’utilisent pas de faux certificats numériques considérés comme valides par Windows), il est conseillé de visiter d’abord cette page (le certificat légitime sera mis en cache dans le navigateur) puis exécuter le test réalisé par Sécurité Kudelski.
Si, en cliquant sur le bouton Exploitez-moi, le message « Bonjour tout le monde, ceci est un PoC CryptoAPI CVE-2020-0601 de Kudelski Security« signifie qu’il y a un problème: le correctif Microsoft n’a pas encore été appliqué.
Inversement, si vous recevez des messages tels que NET :: ERR_CERT_INVALID, ERR_CERT_AUTHORITY_INVALID ou alors SEC_ERROR_BAD_DER le site étant appelé « Pas certain« , cela signifie que la protection agit correctement.
L’image dans la zone locale est plus compliquée car l’utilisateur pourrait toujours être induit en erreur par des fichiers exécutables qui ont une signature numérique astucieusement modifiée. Il est donc conseillé de porter la plus grande attention aux fichiers que vous téléchargez sur Internet et que vous exécutez sur vos systèmes en effectuant toujours une analyse anti-malware préventive: voir VirusTotal: guide d’utilisation du service pour vérifier l’identité des fichiers.
Après avoir installé le correctif Microsoft, dans le Observateur d’événements Windows (appuyez sur Windows + R puis tapez eventvwr.msc) le système d’exploitation enregistre toutes les tentatives d’exploitation de la faille CVE-2020-0601.
En recherchant les événements avec l’ID 1 et la référence à CVE-2020-0601, vous pouvez savoir si c’est à ce moment que l’utilisation de la faille a été tentée.
Pour obtenir la liste complète des événements, nous vous suggérons d’appuyer sur la combinaison de touches Windows + X Alors choisi Windows PowerShell ou alors Invite de commandes (en sélectionnant Windows PowerShell vous devrez taper cmd comme première commande).
À ce stade, à l’aide de la commande suivante, toute tentative d’exploitation de la faille CVE-2020-0601 peut être extraite:
Application wevtutil qe / q: « *[System[(EventID=1)] et EventData[Data[@Name= »CVEID »]]] »
En tapant ce qui suit, vous pouvez les enregistrer sous forme de fichier texte (puis ouvert avec le Bloc-notes):
Application wevtutil qe / q: « *[System[(EventID=1)] et EventData[Data[@Name= »CVEID »]]] »>% userprofile% CVE-2020-0601.txt && notepad% userprofile% CVE-2020-0601.txt
Relancez simplement le test à partir du navigateur Web Sécurité Kudelski, un événement avec ID 1 et référence à CVE-2020-0601 sera automatiquement généré.
Page Test Curveball faite par Institut SANS vous permet de vérifier si votre système et votre navigateur sont protégés ou non.
Comme mesure de sécurité supplémentaire, les utilisateurs de Chromium et Chrome (et des navigateurs dérivés) doivent s’assurer qu’ils utilisent la dernière version disponible: Mise à jour de Chrome: pourquoi et ce que signifient les icônes. Firefox n’est pas affecté par la vulnérabilité.
Découvrez également plus d’articles dans nos catégories Internet, productivité et encore Ordinateurs et internet.
Merci pour votre visite on espère que notre article Protégez Windows 10 et Windows Server contre la faille NSA (CryptoAPI)
vous aide, pensez à partager l’article sur Facebook, pinterest et whatsapp avec les hashtag ☑️ #Protégez #Windows #Windows #Server #contre #faille #NSA #CryptoAPI ☑️!