公開日:2020/01/15 最終更新日:2020/01/15

JVNVU#91499458
Microsoft Windows CryptoAPI における Elliptic Curve Cryptography (ECC) 証明書の検証不備の脆弱性

概要

Microsoft が提供する Windows CryptoAPI には、Elliptic Curve Cryptography (ECC) 証明書の検証不備の脆弱性が存在します。

影響を受けるシステム

  • Windows 10
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server, version 1803
  • Windows Server, version 1903
  • Windows Server, version 1909
詳細は、開発者が提供する情報をご確認ください。

詳細情報

Microsoft の Crypt32.dll が提供する Windows CryptoAPI には、Elliptic Curve Cryptography (ECC) 証明書の検証不備の脆弱性が存在します。
CertGetCertificateChain() 関数により ECC キーを持つ証明書を信頼されたルート CA までトレースが可能か判断する場合、証明書チェーンの信頼性を適切に検証できないため、正当な証明書になりすませる可能性があります。

想定される影響

中間者攻撃 (man-in-the-middle attack) により、HTTPS 通信の傍受や改ざんしたり、または悪意のあるプログラムの署名を詐称したりするなどの可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

ベンダ情報

ベンダ リンク
Microsoft CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability

参考情報

  1. CERT/CC Vulnerability Note VU#849224
    Microsoft Windows CryptoAPI fails to properly validate ECC certificate chains

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Alert (AA20-014A) Critical Vulnerabilities in Microsoft Windows Operating Systems
CPNI Advisory
TRnotes
CVE CVE-2020-0601
JVN iPedia