HSC : Vulnérabilités CryptoAPI (MS09-056)
octobre 2009 par HSC
Date : 14-10-2009
Criticité HSC : 3/5 - moyenne
Avis public : Oui
Exploitation : Disponible et publique
Résumé : L’avis Microsoft MS09-056 couvre deux vulnérabilités dans la CryptoAPI (librairie dynamique appellée notamment dans tous les logiciels WIndows utilisant SSL).
Les deux vulnérabilités présentées ont des impacts sur la validation des certificats envoyés par exemple par un site Web HTTPS, et au moins une d’entre elle est utilisée pour des attaques MITM (Man In The Middle) indétectables par les utilisateurs.
Source : Microsoft
Objet : Windows
Description :
La première vulnérabilité concerne le traitement du caractère nul (\0)
dans un nom de certificat. Ainsi que montré à BlackHat 2009, il est
possible en exploitant cette vulnérabilité de montrer un certificat
valide (signé par une CA reconnue par Internet Explorer) présentant un
nom "spoofé", par exemple "www.paypal.com\0www.evilattacker.com" .
Internet Explorer ne verra que le début du CN contenu dans le
certificat, et si l’attaquant est capable d’intercepter (DNS, coupure,
...) la communication, la connexion de l’utilisateur vers www.paypal.com
pourra être décodée sans avertissement.
Un tel certificat valide (et la clé privée associée) ont été postés sur
Internet.
La seconde vulnérabilité concerne un débordement d’entier dans la
lecture des certificats envoyés par un serveur, et a les mêmes
conséquences.
Références :
– Microsoft : http://www.microsoft.com/technet/security/bulletin/ms09-
056.mspx
– CVE : CVE-2009-2510 , CVE-2009-2511