Patchez Windows 10, c’est la NSA qui le dit.
Pour la première fois, l’agence a accepté que Microsoft lui attribue la découverte d’une faille.
Ladite faille (CVE-2020-0601) touche aussi Windows Server 2016 et 2019.
Elle réside dans la CryptoAPI (Cryptographic Application Programming Interface).
Cette API permet d’utiliser les fonctions cryptographiques implémentées dans la bibliothèque CSP (Cryptographic Service Provider).
Parmi ces fonctions, il y a la vérification des signatures destinées à prouver l’authenticité de logiciels.
Problème : CryptoAPI n’applique pas les mesures de sécurité nécessaire pour valider certains certificats. En l’occurrence, ceux qui utilisent l’algorithme ECC (cryptographie sur les courbes elliptiques).
Le souci se pose uniquement sur les versions de Windows qui prennent en charge les clés ECC spécifiant des paramètres.
Exploiter la faille peut permettre de faire passer tout certificat comme légitime. Et l’utiliser, entre autres, pour signer des exécutables malveillants.
Sont également touchées les applications qui utilisent la fonction CertGetCertificateChain() de Windows pour remonter les chaînes de certificats.
https://twitter.com/briankrebs/status/1217189733161455616?ref_src=twsrc%5Etfw » rel= »nofollow
Aux organisations qui ne pourraient patcher tous leurs systèmes, la NSA recommande de prioriser :
La présente démarche, affirme l’agence, s’inscrire dans le cadre d’une initiative « Turn a New Leaf » (« Tourner une nouvelle page »). Elle promet d’accentuer, dans ce cadre, sa communication avec les éditeurs de logiciels.
En toile de fond, l’exploit EternalBlue, que la NSA avait gardé au chaud… jusqu’à ce qu’il filtre et ouvre la voie à WannaCry.
Photo d’illustration © isak55 – Shutterstock.com
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…