W dniu 14.01.2020 ujawnione zostały krytyczne podatności (CVE-2020-0601 ; CVE-2020-0609 ; CVE-2020-0610 ; CVE-2020-0611) systemów Windows, w związku z czym zalecana jest pilna aktualizacja wszystkich systemów Windows: Windows 10, Windows Server 2012/2016/2019. Wsparcie starszych wersji Windows (wszystkie wersje Windows 7 oraz Windows Server 2008) zostało zakończone w dniu 14.01.2020 w związku z czym zalecana jest ich aktualizacja do nowszych wersji lub podjęcie działań w celu minimalizacji ryzyka np. odseparowanie od sieci publicznej, instalacja lokalnego firewalla.

CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

Powyższa podatność dotyczy Windows CryptoAPI (Crypt32.dll) i umożliwia m.in.:

- cyfrowe podpisanie dowolnego pliku binarnego w taki sposób by uwiarygodnić źródło jego pochodzenia

- zastosowanie ataku man-in-the-middle w celu deszyfrowania połączeń klient-serwer

Podatność dotyczy systemów Windows 10, Windows Server 2016/2019. Pełna lista systemów dostępna pod powyższym odnośnikiem.



CVE-2020-0609 | Windows Remote Desktop Gateway (RD Gateway) Remote Code Execution Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609

CVE-2020-0610 | Windows Remote Desktop Gateway (RD Gateway) Remote Code Execution Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610

Podatność dotyczy usługi Windows Remote Desktop Gateway i umożliwia:

- uzyskanie połączenia z atakowanym systemem pomijając system autentykacji, poprzez wysłanie specjalnie spreparowanego żądania

- po uzyskaniu połączenia wykonywać zdalny kod, m.in. instalując dowolne oprogramowanie, tworzyć, usuwać i modyfikować pliki oraz tworzyć nowe konta z pełnymi uprawnieniami

Podatność dotyczy systemów Windows Server 2012/2012R2/2016/2019.



CVE-2020-0611 | Remote Desktop Client Remote Code Execution Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0611

Podatność dotyczy klienta Windows Remote Desktop: użytkownik łączący się do spreparowanego serwera usługi Remote Desktop Server może zostać zaatakowany poprzez możliwość zdalnego wykonania kodu na komputerze klienta. Po uzyskaniu połączenia atakujący otrzymuje możliwość zdalnego instalowania oprogramowania, tworzenia, usuwania i modyfikowania plików oraz tworzenia nowych kont z pełnymi uprawnieniami.

Użytkownik może zostać zachęcony do nawiązania połączenia ze złośliwym serwerem poprzez wykorzystanie socjotechniki. Inną możliwością jest wykorzystanie technik 'DNS poisoning', man-in-the-middle lub poprzez połączenie do skompromitowanego serwera.

Podatność dotyczy szerokiej listy systemów Windows (systemy desktop począwszy od Windows 7, server począwszy od 2008), których szczegółowy wykaz można znaleźć pod powyższym odnośnikiem.



Microsoft opublikował aktualizacje dla wszystkich wersji swojego oprogramowania, które usuwają opisane wyżej podatności. Dlatego zalecane jest jak najszybsze wykonanie aktualizacji oprogramowania w obsługiwanych systemach Windows.


Dla osób zainteresowanych bardziej szczegółowymi informacjami kilka interesujących odnośników:

https://www.us-cert.gov/ncas/alerts/aa20-014a

https://www.us-cert.gov/ncas/current-activity/2020/01/14/cisa-releases-emergency-directive-and-activity-alert-critical

https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF