MS09-056: Vulnerabilities in CryptoAPI could allow spoofing

Support for Windows Vista Service Pack 1 (SP1) ends on July 12, 2011. To continue receiving security updates for Windows, make sure you’re running Windows Vista with Service Pack 2 (SP2). For more information, refer to this Microsoft web page: Support is ending for some versions of Windows.

INTRODUCTION

Microsoft has released security bulletin MS09-056. To view the complete security bulletin, visit one of the following Microsoft Web sites:

http://www.microsoft.com/security/updates/bulletins/200910.aspxSkip the details: Download the updates for your home computer or laptop from the Microsoft Update Web site now:

How to obtain help and support for this security update

Help protect your computer that is running Windows from viruses and malware:
Virus Solution and Security Center

Local support according to your country:
International Support

More Information

Known issues that affect this security update

After you install this update on a computer that is running the System Center Configuration Manager 2007, Service Pack 1 (SP1) client or the System Center Configuration Manager 2007 Service Pack 2 (SP2) client, a user state migration may fail.

For more information about how to resolve this issue, click the following article number to view the article in the Microsoft Knowledge Base:

977203 User state migration fails on a System Center Configuration Manager 2007 Service Pack 1 client or on a System Center Configuration Manager 2007 Service Pack 2 client after you install security update 974571

Services that are required by Communications Server are not started after you install this update and then restart a computer that is running any of the following versions of Communications Server:

Live Communications Server 2005 (LCS)

Live Communications Server 2005 SP1

Office Communications Server 2007 Enterprise edition (OCS)

Office Communications Server 2007 Standard edition

Office Communications Server 2007 R2 Enterprise edition

Office Communications Server 2007 R2 Standard edition

Office Communicator 2007 Evaluation version only*

Office Communicator 2007 R2 Evaluation version only*

Office Communicator 2005

*The licensed production version of this application is not affected by this known issue. Only Office Communicator clients that are in their 180-day evaluation period are affected by this issue.

When this problem occurs, the following error events are logged in the Application logs in the Event Viewer of the affected servers:

Live Communications Server 2005

Event Type: Error
Event Source: Live Communications Server
Event Category: (1000)
Event ID: 12290
Date: Date
Time: Time
User: N/A
Computer: Computer
Description:
The evaluation period for Microsoft Office Live Communication Server 2005 has expired. Obtain the released version of this product and upgrade to the non-evaluation version by running setup.exe.

Office Communications Server 2007

Log Name: Office Communications Server
Source: OCS Server
Date: Date
Event ID: 12290
Task Category: (1000)
Level: Error
Keywords: Classic
User: N/A
Computer: Computer
Description:
The evaluation period for Microsoft Office Communications Server 2007 R2 has expired. Please upgrade from the evaluation version to the full released version of the product.

Log Name: Office Communications Server
Source: OCS Server
Date: Date
Event ID: 12299
Task Category: (1000)
Level: Error
Keywords: Classic
User: N/A
Computer: Computer
Description:
The service is shutting down due to an internal error.

Error Code: C3E93C23 (SIPPROXY_E_INVALID_INSTALLATION_DATA)
Cause: Check the previous entries in the event log for the failure reason.
Resolution:
Check the previous event log entries and resolve them. Restart the server. If the problem persists, contact Product Support Services.

When this problem occurs, the required services behave as if an expired trial version of the product is installed. This behavior affects the whole Communications Server enterprise that is hosted by the affected server or servers.

Customers who are not running OCS or LCS server are not affected by this known issue, and can safely ignore this issue.

Customers who have deployed the OCS or LCS product on a server should assess the risk that is involved to decide whether to install the security update on that server. These customers should revisit this Knowledge Base article often, because this article will be updated as soon as more information and a resolution are available.

When you deploy the Standard Edition role on a new installation of any version of Office Communications Server, activation fails if security update 974571 is installed. To resolve this problem, apply this fix, and then run the activation again. When activation fails, the following warning event is logged in the Office Communications Server log in the Event Viewer of the affected servers.

This same event is also shown as a failure in the Activate Standard Edition Server log:

Issues with Windows 2000 Certificate Services and MS09-056

Smartcard certificates that are issued by a Windows 2000 CA where the userPrincipalname (UPN) of the user is empty may include an incorrectly-formatted Subject Alternate Name (SAN) that contains an additional NULL character embedded.

After MS09-056 is installed on domain controllers in the domain, those smartcards will be rejected during logon attempts. The domain controllers start rejecting their SAN after they have MS09-056 installed.

To resolve the issue, reissue the affected users’ smartcards. If a Windows 2000 CA will be used to reissue the new smartcard certificates, the UPN of the affected users must be populated before reissuing the smartcards.

Resolution for these known issues

A fix that resolves this issue is available for download from the Microsoft Download Center. To obtain the fix, visit the following Microsoft Web page:

The fix (OCSASNFix.exe) is governed by the Microsoft Software License Agreement for Office Communications Server 2007 R2, Office Communications Server 2007, Live Communications Server 2005, Office Communicator 2007 R2, Office Communicator 2007, and Office Communicator 2005.

This fix works for both clients and servers, and it is applicable to the following roles for all versions of Office Communications Server and Live Communications Server 2005 SP1 and for evaluation versions of Office Communicator:

Standard Edition Server

Director server role

Enterprise Edition Consolidated

Enterprise Edition Distributed – Front End

Proxy server role

Office Communicator 2007 Evaluation version only

Office Communicator 2007 R2 Evaluation version only

Office Communicator 2005 Evaluation version only

To run the fix, type the following command at a command prompt, and then press ENTER:

ocsasnfix.exeWhen you run the command on a computer that is running Office Communication Server 2007, Office Communication Server 2007 R2, or Live Communications server 2005 Service Pack 1, you receive a message that resembles the following:

Checking OCS/LCS Server installation. Fixing registry data
Checking Office Communicator 2007 Eval installation. not installed.
Checking Office Communicator 2005 Eval installation. not installed.

When you run the command on a computer that is running an evaluation version of Office Communication Server 2007, Office Communication Server 2007 R2, or Live Communications server 2005, you receive a message that resembles the following:

Checking OCS/LCS Server installation. not installed.
Checking Office Communicator 2007 Eval installation. Fixing registry data
Checking Office Communicator 2005 Eval installation. not installed.

This fix can be applied either before or after you install security update 974571. If you apply the fix after you install security update 974571, we recommend that you apply the fix before you restart the computer. If you already restarted the computer after you installed security update 974571, this fix can still be applied. However, the Office Communication Services must be started manually.

If all services start without any issues, this indicates that this fix has been applied and is working correctly.

This fix sets the OCSASNFIX DWORD value to 1 for the following registry subkey on the OCS 2007/R2 and LCS 2005-SP1 Server:

Additional known issues with this security update

When you deploy the Standard Edition role on a new installation of any version of Office Communications Server, activation fails if security update 974571 is installed. To resolve this problem, apply the fix that is described in the «Resolution for these known issues» section, and then run the activation again.

FILE INFORMATION

The English (United States) version of this software update installs files that have the attributes that are listed in the following tables. The dates and times for these files are listed in Coordinated Universal Time (UTC). The dates and times for these files on your local computer are displayed in your local time and with your current daylight saving time (DST) bias. Additionally, the dates and times may change when you perform certain operations on the files.

Windows cryptoapi spoofing vulnerability 1511

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Asked by:

Question

According to the Center for Internet Security, CVE-2020-0601 affects Windows Server 2012, 2012 R2, 2016 and 2019.

However, when I checked the security update guide on the Microsoft MSRC website, Windows Server 2012, and 2012 R2 are not listed as having an available security update. Ref. CVE-2020-061 Windows CryptoAPI Spoofing Vulnerability.

Is there a security update for Windows Server 2012 and 2012 R2 that addresses this vulnerability?

All replies

Yes Cliff, there is not specific KB for Server 2012 and 2012 R2 on CVE-2020-0601 Windows CryptoAPI Spoofing Vulnerability website, you are right.

What we can do is just updating our Server 2012 and 2012 R2 to the latest build, make sure system installed the latest Monthly Rollup which is released on January 14, 2020. Then, wait for update or news from Microsoft.

АНБ обнаружило опасную криптографическую уязвимость в Windows

Xakep #263. Кредитки в опасности

Агентство национальной безопасности США (АНБ) обнаружило серьезный криптографический баг CVE-2020-0601, опасный для Windows 10, Windows Server 2019 и Windows Server 2016. Уязвимость связана с работой Windows CryptoAPI — основного компонента Windows, который отвечает за криптографические операции.

Так, исследователи АНБ обнаружили, что существует возможность спуфинга, связанная тем, как Windows CryptoAPI (Crypt32.dll) осуществляет валидацию ECC-сертификатов (Eliptic Curve Cryptography — метод криптографии, работающий с эллиптическими кривыми).

Microsoft предупреждает, что атакующий может воспользоваться этой уязвимостью, чтобы подписать вредоносный исполняемый файл, чтобы тот выглядел как файл, полученный из надежного и легитимного источника. Хуже того, уязвимость также может использоваться для подделки цифровых сертификатов, используемых для шифрованных коммуникаций. Фактически успешная эксплуатация проблемы позволяет проводить MitM-атаки и расшифровывать конфиденциальную информацию о пользовательских подключениях.

Хотя Microsoft оценила исправление для этого бага как «важное», а не «критическое», и уязвимость пока не использовалась в реальных атаках, но проблема считается настолько серьезной, что АНБ пошло на беспрецедентный для себя шаг, сообщив об уязвимости разработчикам, вместо того, чтобы скрыть эту информацию и использовать для проведения собственных операций. Более того, директор по кибербезопасности АНБ Энн Нойбергер подчеркивает, что раскрытие данных о CVE-2020-0601 — это лишь «первая ласточка», и агентство намерено изменить свой подход к кибербезопасности, то есть в будущем последуют и другие сообщения об ошибках.

АНБ уже выпустило собственное руководство по безопасности, содержащее информацию о способах снижения рисков от уязвимости, методах обнаружения эксплуатации проблемы, а также призвало компании и пользователей как можно скорее установить вышедшие патчи.

KrebsOnSecurity: во всех Windows за последние 20 лет найдена критическая уязвимость

В криптографическом компоненте Windows обнаружена «необычайно серьёзная» уязвимость, которая затрагивает все версии системы за последние 20 лет, начиная с Windows NT 4.0. Об этом сообщил портал KrebsOnSecurity со ссылкой на собственные источники.

Как утверждает журналист Брайан Кребс, сегодня Microsoft должна выпустить патч, который закроет уязвимость. Компания, по информации Кребса, заранее уведомила о проблеме некоторых особо важных пользователей, в частности, оборонные предприятия в США и другие государственные организации, попросив их при этом подписать документ о неразглашении информации о сути уязвимости до выхода исправления.

Как указывает KrebsOnSecurity, уязвимость касается модуля crypt32.dll, который отвечает за сертификаты и обмен зашифрованными сообщениями в CryptoAPI. С помощью CryptoAPI разработчики обеспечивают защиту программ для Windows. Критическая уязвимость в этом компоненте, отмечает KrebsOnSecurity, может нарушить работу сразу нескольких важных функций Windows, включая аутентификацию на ПК и серверах на Windows. Также она угрожает безопасности конфиденциальных данных, которые обрабатывают браузеры Microsoft Internet Explorer/Edge, и некоторых сторонних приложений и инструментов.

Также, как подчёркивает KrebsOnSecurity, найденную уязвимость могут использовать злоумышленники для спуфинга цифровой подписи к ПО, что позволит им выдать вредоносную программу за легитимную, выпущенную и подписанную добросовестным разработчиком.

В ответ на запрос KrebsOnSecurity компания Microsoft заявила, что она не обсуждает детали обнаруженных уязвимостей до того, как появится обновление. Компания также отказалась подтвердить информацию о том, что некоторые пользователи могли получить обновление раньше других, подчеркнув, что она «не выпускает обновления раньше запланированного срока».

«В рамках нашей программы проверки обновлений (SUVP) мы выпускаем предварительные версии обновлений, чтобы проверить их совместимость в лабораторных условиях. Участникам этой программы по контракту запрещено применять обновление вне тестовых испытаний», — приводит портал заявление Microsoft.

Ранее Уилл Дорман, исследователь безопасности, автор нескольких отчётов об уязвимостях для координационного центра CERT (CERT-CC), опубликовал в твиттере сообщение, в котором рекомендовал обратить особое внимание на грядущее обновление Windows, но не пояснил, по какой причине. Сегодня, по информации Брайана Кребса, в американскую прессу поступила информация о том, что уязвимость обнаружили специалисты Агентства национальной безопасности США. По словам представителей АНБ, проблема затрагивает Windows 10 и Windows Server 2016.

Тем временем, сегодня Microsoft официально прекратила поддержку Windows 7. Пользователи могут работать на этой ОС, однако компания перестанет выпускать обновления для неё. Таким образом, система не получит патч и для найденной уязвимости.

«Без обновлений программного обеспечения и системы безопасности вы подвергаетесь повышенной угрозе вирусов и вредоносного ПО», — предупредила Microsoft.