Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Urgente Windows 10 update: Windows CryptoAPI & Windows RDP Gateway

Microsoft heeft dinsdagavond 14 januari 2020 meerdere beveiligingsupdates uitgebracht, waaronder voor een kwetsbaarheid in Windows 10 en Windows RDP Gateway server die door de NSA is gevonden en het mogelijk maakt om digitale handtekeningen van bestanden te vervalsen. Deze beveiligingsupdate van Microsoft zorgt ervoor dat de kwetsbaarheid in CRYPT32.DLL (een Windows component dat wordt gebruikt voor het versleutelen en ontsleutelen van gegevens via digitale certificaten), wordt bijgewerkt en men hier geen misbruik meer van kan maken. Het beveiligingslek is aanwezig in Windows 10, Server 2016 en Server 2019 (alle builds). Op de meeste Windowssystemen wordt de beveiligingsupdate automatisch geïnstalleerd, maar InSpark adviseert om dit wel te controleren.

Deze patches bevatten belangrijke updates die door het National Cyber Security Centrum als “high/high” worden aangemerkt. InSpark adviseert om de laatste security updates zo spoedig mogelijk uit te rollen. Deze security updates zijn inmiddels beschikbaar. Indien de update niet wordt geïnstalleerd kunnen virussen en malware hier misbruik van te maken door zich voor te doen als een “veilige” bron. Het wordt dan veel eenvoudiger om misbruik van het Windows 10, Server 2016 en Server 2019 systeem te maken. Immers de bron identiteit wordt als veilig bestempeld!

Microsoft heeft aangegeven dat de kwetsbaarheid voor zover bekend nog niet door aanvallers is misbruikt. Nu dit lek geopenbaard is, is het echter een kwestie van tijd dat deze kwetsbaarheid misbruikt zal worden.

CVE

Windows CryptoAPI (CVE-2020-0601)

Met de Windows CryptoAPI kwetsbaarheid, CVE-2020-0601, kan een kwaadwillende Elliptic Curve Cryptography (ECC) certificaten genereren die door Windows geaccepteerd worden. Deze certificaten kunnen gebruikt worden voor het versleutelen van netwerkverkeer of voor het tekenen van executables. Daarmee kan een kwaadwillende een man-in-the-middle aanval uitvoeren op netwerkverbindingen, of malafide executables maken met valide certificaten. Het is mogelijk dat andere software die gebruik maakt van de CryptoAPI om ECC-certificaten te valideren ook kwetsbaar is.

De patch voor CVE-2020-0601 zorgt ervoor dat ECC-certificaten op de juiste manier gevalideerd worden. Deze certificaten kunnen daarna niet meer gebruikt worden voor een man-in-the-middle aanval. Voor malafide executables met deze specifieke certificaten komen meldingen in de Windows Logs. Het NCSC adviseert om Windows Logs te monitoren op deze meldingen na het updaten. Software die gebruik maakt van de CryptoAPI zal na het installeren van de patch de juiste validatie resultaten krijgen van ECC-certificaten.

Windows RDP Gateway (CVE-2020-0609, CVE-2020-0610, CVE-2020-0612)

Met de Windows RDP Gateway kwetsbaarheden, kan een kwaadwillende RDP Gateway servers aanvallen. De eerste twee kwetsbaarheden stellen een kwaadwillende in staat om code uit te voeren op RDP Gateway servers. Daarmee krijgt een kwaadwillende toegang tot het lokale netwerk en systemen. Met de derde kwetsbaarheid kan een kwaadwillende een Denial-of-Service aanval uitvoeren op de RDP Gateway server. De update lost de kwetsbaarheden op door te corrigeren hoe RDP Gateway netwerkverbindingen behandelt.

Mitigatie

InSpark adviseert om met spoed updates uit te voeren op uw Windows 10 machines, Server 2016 en op Server 2019. Om de specifieke vulnerabilities die besproken zijn in dit rapport te mitigeren adviseren wij om de volgende patches uit te voeren.

Windows CryptoAPI

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

  • Windows 10 – KB4534306
  • Windows 10 versie 1903 – KB4528760
  • Windows 10 versie 1909 – KB4528760
  • Windows Server 2016 – KB4534271
  • Windows Server 2019 – KB4534273

Windows RDP gateway

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609

  • Windows Server 2012 – KB4534288
  • Windows Server 2012 R2 – KB4534309
  • Windows Server 2016 – KB4534271
  • Windows Server 2019 – KB4534273

Opmerking : Er zijn op dit moment een aantal issues bekend met deze updates. De momenteel bekende issues van deze updates zijn te vinden op bovengenoemde links. Hou de bovenstaande websites in de gaten voor updates. Indien je gebruik maakt van System Center en/of WSUS dient u deze updates nog wel te approven.

Mocht je vragen hebben over deze update, stel je vraag onder aan dit blog aan Xander Oortgiesen. Je kunt ook altijd contact opnemen met Security Engineer Shangram Karim of onze Security expert Derk van der Woude.