De nombreuses applications tierces se basent sur les API Windows pour vérifier les signatures des binaires avant installation ou chargement. En particulier, des plugins de navigateurs peuvent permettre le déploiement de programmes pour l'ajout de fonctionnalités ou les mises à jour. La parution du CVE-2020-0601 ouvre une surface d'attaque inédite pour tous ces plugins.
Que ce soit des clients VPN ou de visioconférence, certaines applications destinées au monde de l’entreprise proposent des extensions ou composants ActiveX à greffer aux navigateurs pour rendre leur utilisation plus conviviale. Pour faciliter l’interopérabilité avec les différentes versions de serveurs, ceux-ci intègrent des mécanismes de mises à jour, directement servies depuis ces serveurs. La confiance se base donc entièrement sur les signatures des paquets à installer, en utilisant les API Windows. La publication du CVE-2020-0601 remet en cause la sécurité de ces mécanismes de mise à jour puisqu’il devient possible de forger la signature de binaires arbitraires.
Pour illustrer ce propos, cet article se base sur le plugin de Chrome Cisco Webex Meetings [WEBEX].
1. Contexte
1.1 Le CVE-2020-0601
Cette vulnérabilité, remontée à Microsoft par la NSA, a provoqué une grande vague d'inquiétude. Sur Windows 10, crypt32.dll ne validait pas...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
