14.01.2020 року Агентство з питань кібербезпеки та інфраструктури (CISA) видало Директиву щодо надзвичайних ситуацій 20-02 та оприлюднило попередження щодо необхідності термінового виправлення критичних вразливостей, що існують у продуктах Microsoft Windows. Ці вразливості впливають на те, як деякі версії цієї операційної системи перевіряють сертифікати криптографії Elliptic Curve (ECC) та обробляють запити на з'єднання протоколом віддаленого робочого столу (RDP).
Вразливості:
CVE-2020-0601 – Серйозна
Вразливість перевірки сертифікатів ECC є у MS Windows 10, MS Server 2016 та MS Server 2019. Вразливість дозволяє, обходячи надійне сховище, небажаному чи шкідливому програмному забезпеченню маскуватися під автентичне підписання надійною або довіреною організацією. Це може ввести в оману користувачів або перешкодити методам виявлення зловмисних програм, наприклад за допомогою антивірусного програмного забезпечення. Крім того, може бути виданий зловмисно створений сертифікат для імені хоста, який його не авторизовував, а веб-браузер, який спирається на CryptoAPI Windows, не буде видавати попередження, дозволяючи зловмиснику непомітно розшифровувати, змінювати або вводити дані.
Оновлення Windows за посиланням: CVE-2020-0601.
CVE-2020-0609 та CVE-2020-0610 – Критичні
Вразливості клієнта віддаленого робочого столу (RDP, стосується всіх підтримуваних версій Windows, включаючи Server) та RDP Gateway Server (є на Windows Server 2012, 2016, 2019) дозволяють виконувати віддалене виконання коду. Вразливості сервера не вимагають аутентифікації або взаємодії з користувачем, і їх можна використовувати спеціально створеним запитом. Вразливість клієнта можна використовувати, переконуючи користувача підключитися до шкідливого сервера (наприклад, за допомогою фішингу).
Оновлення Windows за посиланнями: CVE-2020-0609 та CVE-2020-0610.
CVE-2020-0611 – Критична
CVE-2020-0611 вразливість віддаленого виконання коду, яка існує в Windows Remote Desktop Client. В той час, коли користувач підключається до шкідливого серверу за допомогою RDP, зловминик може, використовуючи дану вразливість, виконати код для отримання підключення до операційної системи користувача. Це дозволяє зловмиснику вчиняти дії в операційній системі користувача.
Оновлення Windows за посиланням: CVE-2020-0611.
Операційні системи, на яких є вразливості:
CVE-2020-0601
- Windows 10
- Windows Server 2016
- Windows Server 2019
CVE-2020-0609 та CVE-2020-0610
Всі версії Windows Server, що підтримуються та на яких інстальовано Remote Desktop Gateway.
CVE-2020-0611
Всі версії Windows та Windows Server, що підтримуються, а також Windows 7 та Windows 2008 R2, які не підтримуються з 14 січня 2020.
Що робити?
Якщо Ви використовуєте, одну з вищезгаданих операційних систем, рекомендуємо негайно встановити оновлення. Патчі для цих вразливостей вже випущені компанією Microsoft як частина оновлення January 2020 Security Updates, що вийшли 15.01.2020.
Якщо ці вразливості операційної системи неможливо негайно виправити, рекомендуємо ізолювати їх, відключивши з мереж потенційно вразливі пристрої, підключені до мережі Інтернет.
Додатково рекомендуємо використовувати ліцензійне програмне забезпечення та не відключати автоматичне встановлювлення оновлень.
Корисні посилання:
- Microsoft Advisory – CVE-2020-0601
- Microsoft Advisory – CVE-2020-0609
- Microsoft Advisory – CVE-2020-0610
- Microsoft Advisory – CVE-2020-0611
- US-CERT Alert AA20-014A - Critical Vulnerabilities in Microsoft Windows Operating Systems
- NSA Cyber Security Advisory- Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers