Microsoft Windows CryptoAPI spoofing-kwetsbaarheid (CVE-2020-0601): opsporen en herstellen

Microsoft introduceerde onlangs een patch voor CVE-2020-0601, een kwetsbaarheid in het Windows-‘crypt32.dll’-component die kwaadwillende hackers in staat kan stellen spoofing-aanvallen te lanceren. De kwetsbaarheid werd ontdekt en gerapporteerd door onderzoekers van het National Security Agency (NSA). CVE-2020-0601 treft Windows 10- en Windows Server 2016/2019-systemen.

Het gaat om een serieuze kwetsbaarheid en patches dienen onmiddellijk te worden toegepast. Een hacker is in staat misbruik te maken van deze kwetsbaarheid met behulp van een gespoofd code-signing certificate. Dit houdt in dat een hacker je malware kan laten downloaden en installeren die zich met een gespoofde digitale handtekening bijvoorbeeld voordoet als een software-update. Enkele voorbeelden waar hackers kunnen toeslaan:

• HTTPS-verbindingen
• Ondertekende bestanden en e-mails
• Ondertekende uitvoerbare bestanden gelanceerd als usermode-processen

Exploits/PoC:

Op dit moment zijn er geen publieke meldingen van actieve exploits of PoC. NSA benadrukt echter het volgende: “Het is goed mogelijk dat remote-exploitation-tools op korte termijn algemeen beschikbaar zijn.”

CVE-2020-0601 opsporen met Qualys VM

De beste methode voor het identificeren van kwetsbare hosts is via de Qualys Cloud Agent of via Qualys authenticated scanning. Qualys heeft een speciale QID (91595) uitgegeven voor Qualys Vulnerability Management die alleen CVE-2020-0601 dekt binnen alle getroffen besturingssystemen. Deze QID zal deel uitmaken van signature-versie VULNSIGS-2.4.791-3 en vereist authenticated scanning of de Qualys Cloud Agent. Cloud Agents ontvangen deze nieuwe QID automatisch, als onderdeel van manifestversie 2.4.791-202. Je kunt binnen AssetView of het VM Dashboard naar de patch zoeken door de volgende QQL-query te gebruiken:

vulnerabilities.vulnerability:qid:91595

vulnerabilities.vulnerability.cveId:CVE-2020-0601