Risque
- Contournement de la politique de sécurité
Systèmes affectés
- Microsoft Windows 10
- Windows Server 2016
- Windows Server 2019
Résumé
[Mise à jour du 17 janvier 2020 : informations complémentaires et clarification sur les impacts]
Une vulnérabilité affecte la bibliothèque cryptographique CryptoAPI (CAPI, crypt32.dll) de Microsoft Windows 10, Windows Server 2016 et Windows Server 2019.
Depuis 2015, la bibliothèque CryptoAPI sait gérer les algorithmes cryptographiques basés sur les courbes elliptiques (ECC). La vulnérabilité impacte la fonction de vérification de validité de certificat numérique lorsque ceux-ci sont signés par une autorité de certification qui s'appuie sur la cryptographie ECC.
La cryptographie ECC utilise des algorithmes asymétriques pour lesquels il est nécessaire d'avoir deux clés, l'une publique et l'autre privée, afin de pouvoir chiffrer et signer des informations entre deux correspondants.
La vulnérabilité affecte le contrôle, par la bibliothèque CryptoAPI, des clés publiques ECC présentes dans les certificats. Ce défaut permet à un attaquant de produire un certificat intermédiaire pour lequel il disposera donc de la clé privée. Ce certificat sera considéré comme une nouvelle ancre de confiance valide par la bibliothèque CryptoAPI. L'attaquant sera alors en mesure de signer un second certificat usurpant l'identité d'un site ou d'un utilisateur.
Pour les systèmes affectés et les applications utilisant cette bibliothèque CryptoAPI, les impacts peuvent être les suivants :
- possibilité de signer un code logiciel malveillant et de le faire reconnaître comme légitime ;
- possibilité de falsifier l'identité d'un utilisateur ou d'un serveur lors de l'établissement d'une connexion TLS ;
- possibilité de falsifier l'identité de l'émetteur d'un message électronique signé.
Le CERT-FR insiste sur l'urgence d'appliquer la mise à jour mensuelle dans les plus brefs délais. Ce correctif n'a aucun impact sur le fonctionnement du système d'exploitation et des applications, il vise uniquement à ajouter les contrôles de sécurité manquants dans la bibliothèque.
Si le déploiement doit être réalisé en plusieurs vagues, il est suggéré de procéder par ordre de priorité en privilégiant d'abord :
- les équipements accessibles sur Internet, basés sur Microsoft Windows, et qui mettent en place des services basés sur une authentification par certificat X.509 ;
- les équipements d'infrastructures et de sécurité basé sur Microsoft Windows (notamment les contrôleurs de domaine Active Directory, les serveurs centralisant les déploiements de logiciels, les passerelles antivirus, etc.) ;
- les postes de travail basés sur Microsoft Windows 10.
Le navigateur Firefox n'utilise pas la bibliothèque CryptoAPI mais la bibliothèque NSS et n'est donc pas affecté par la vulnérabilité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de sécurité Microsoft du 14 janvier 2020 https://portal.msrc.microsoft.com/fr-FR/security-guidance
- Note de publication Microsoft du 14 janvier 2020 https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/2020-Jan
- Avis CERT-FR CERTFR-2020-AVI-026 du 14 janvier 2020 https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-026/
- Référence CVE CVE-2020-0601 https://www.cve.org/CVERecord?id=CVE-2020-0601