Installeer patches van Microsoft voor CryptoAPI en RD Gateway

Microsoft heeft patches beschikbaar gesteld voor recente versies van Microsoft Windows. Deze patches bevatten belangrijke updates die het NCSC als "high/high" aanmerkt en daarom met grote prioriteit moeten worden geinstalleerd. Het gaat om patches voor Windows CryptoAPI en Windows RD Gateway server.

Windows CryptoAPI Kwetsbaarheid (CVE-2020-0601)

Met de Windows CryptoAPI kwetsbaarheid, CVE-2020-0601, kan een kwaadwillende Elliptic Curve Cryptography (ECC) certificaten genereren die door Windows geaccepteerd worden. Deze certificaten kunnen dan gebruikt worden voor het versleutelen van netwerkverkeer of voor het tekenen van executables. Daarmee kan een kwaadwillende een man-in-the-middle aanval uitvoeren op netwerkverbindingen, of malafide executables maken met valide certificaten. Het is mogelijk dat andere software die gebruik maakt van de CryptoAPI om ECC-certificaten te valideren ook kwetsbaar is.

De patch voor CVE-2020-0601 zorgt ervoor dat ECC-certificaten op de juiste manier gevalideerd worden. Deze certificaten kunnen daarna niet meer gebruikt worden voor een man-in-the-middle aanval. Voor malafide executables met deze specifieke certificaten komen meldingen in de Windows Logs. Het NCSC adviseert om Windows Logs te monitoren op deze meldingen na het updaten. Software die gebruik maakt van de CryptoAPI zal na het installeren van de patch de juiste validatie resultaten krijgen van ECC-certificaten.

UPDATE: De CryptoAPI kwetsbaarheid (CVE-2020-0601) is alleen aanwezig in Windows 10 en Windows Server 2016 & 2019. Andere versies van Windows bevatten deze kwetsbaarheid niet.

UPDATE: Proof-of-concept code is beschikbaar. Onze doelgroeporganisaties ontvangen hierover meer details via een beveiligingsadvies.

Windows RD Gateway Kwetsbaarheden (CVE-2020-0609, CVE-2020-0610 en CVE-2020-0612)

Met de Windows RD Gateway kwetsbaarheden, CVE-2020-0609, CVE-2020-0610 en CVE-2020-0612, kan een kwaadwillende RD Gateway servers aanvallen. De eerste twee kwetsbaarheden stellen een kwaadwillende in staat om code uit te voeren op RD Gateway servers. Daarmee krijgt een kwaadwillende toegang tot het lokale netwerk en systemen. Met de derde kwetsbaarheid kan een kwaadwillende een Denial-of-Service aanval uitvoeren op de RD(P) Gateway server.

De update lost de kwetsbaarheden op door te corrigeren hoe RD Gateway netwerkverbindingen behandelt.

UPDATE: Overweeg de noodzaak om RDP via internet toegankelijk te houden. Misbruik van RDP kan leiden tot veel schade, ook als de toepassing up-to-date is. Het biedt tegelijkertijd functionaliteit voor beheer op afstand die niet per se vanaf internet bereikbaar moet zijn. Het NCSC adviseert te inventariseren waarvoor uw organisatie RDP gebruikt en of het belang van deze gevallen opweegt tegen de bijbehorende risico’s.