{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Windows Server 2019","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows 10","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2016","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2020-03-24","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2020-0601","url":"https://www.cve.org/CVERecord?id=CVE-2020-0601"}],"links":[{"title":"Avis CERT-FR CERTFR-2020-AVI-026 du 14 janvier 2020","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-026/"}],"reference":"CERTFR-2020-ALE-004","revisions":[{"description":"Version initiale","revision_date":"2020-01-14T00:00:00.000000"},{"description":"informations compl\u00e9mentaires et clarification sur les impacts","revision_date":"2020-01-17T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"<strong>\\[Mise \u00e0 jour du 17 janvier 2020 : informations compl\u00e9mentaires et\nclarification sur les impacts\\]</strong>\n\nUne vuln\u00e9rabilit\u00e9 affecte la biblioth\u00e8que cryptographique *CryptoAPI\n(CAPI, crypt32.dll)* de Microsoft Windows 10, Windows Server 2016 et\nWindows Server 2019.\n\nDepuis 2015, la biblioth\u00e8que *CryptoAPI* sait g\u00e9rer les algorithmes\ncryptographiques bas\u00e9s sur les courbes elliptiques (*ECC*). La\nvuln\u00e9rabilit\u00e9 impacte la fonction de v\u00e9rification de validit\u00e9 de\ncertificat num\u00e9rique lorsque ceux-ci sont sign\u00e9s par une autorit\u00e9 de\ncertification qui s'appuie sur la cryptographie *ECC*.\n\nLa cryptographie *ECC* utilise des algorithmes asym\u00e9triques pour\nlesquels il est n\u00e9cessaire d'avoir deux cl\u00e9s, l'une publique et l'autre\npriv\u00e9e, afin de pouvoir chiffrer et signer des informations entre deux\ncorrespondants.\n\nLa vuln\u00e9rabilit\u00e9 affecte le contr\u00f4le, par la biblioth\u00e8que *CryptoAPI*,\ndes cl\u00e9s publiques ECC pr\u00e9sentes dans les certificats. Ce d\u00e9faut permet\n\u00e0 un attaquant de produire un certificat interm\u00e9diaire pour lequel il\ndisposera donc de la cl\u00e9 priv\u00e9e. Ce certificat sera consid\u00e9r\u00e9 comme une\nnouvelle ancre de confiance valide par la biblioth\u00e8que *CryptoAPI*.\nL'attaquant sera alors en mesure de signer un second certificat usurpant\nl'identit\u00e9 d'un site ou d'un utilisateur.\n\nPour les syst\u00e8mes affect\u00e9s et les applications utilisant cette\nbiblioth\u00e8que *CryptoAPI*, les impacts peuvent \u00eatre les suivants :\n\n-   possibilit\u00e9 de signer un code logiciel malveillant et de le faire\n    reconna\u00eetre comme l\u00e9gitime ;\n-   possibilit\u00e9 de falsifier l'identit\u00e9 d'un utilisateur ou d'un serveur\n    lors de l'\u00e9tablissement d'une connexion TLS ;\n-   possibilit\u00e9 de falsifier l'identit\u00e9 de l'\u00e9metteur d'un message\n    \u00e9lectronique sign\u00e9.\n\n\u00a0\n\n<strong>Le CERT-FR insiste sur l'urgence d'appliquer la mise \u00e0 jour mensuelle\ndans les plus brefs d\u00e9lais</strong>. Ce correctif n'a aucun impact sur le\nfonctionnement du syst\u00e8me d'exploitation et des applications, il vise\nuniquement \u00e0 ajouter les contr\u00f4les de s\u00e9curit\u00e9 manquants dans la\nbiblioth\u00e8que.\n\nSi le d\u00e9ploiement doit \u00eatre r\u00e9alis\u00e9 en plusieurs vagues, il est sugg\u00e9r\u00e9\nde proc\u00e9der par ordre de priorit\u00e9 en privil\u00e9giant d'abord :\n\n-   les \u00e9quipements accessibles sur Internet, bas\u00e9s sur Microsoft\n    Windows, et qui mettent en place des services bas\u00e9s sur une\n    authentification par certificat X.509 ;\n-   les \u00e9quipements d'infrastructures et de s\u00e9curit\u00e9 bas\u00e9 sur Microsoft\n    Windows\u00a0 (notamment les contr\u00f4leurs de domaine Active Directory, les\n    serveurs centralisant les d\u00e9ploiements de logiciels, les passerelles\n    antivirus, etc.) ;\n-   les postes de travail bas\u00e9s sur Microsoft Windows 10.\n\n\u00a0\n\nLe navigateur Firefox n'utilise pas la biblioth\u00e8que *CryptoAPI* mais la\nbiblioth\u00e8que *NSS* et n'est donc pas affect\u00e9 par la vuln\u00e9rabilit\u00e9.\n","title":"Vuln\u00e9rabilit\u00e9 dans Microsoft Windows","vendor_advisories":[{"published_at":null,"title":"Note de publication Microsoft du 14 janvier 2020","url":"https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/2020-Jan"},{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Microsoft du 14 janvier 2020","url":"https://portal.msrc.microsoft.com/fr-FR/security-guidance"}]}