VTS20-001: VSR WinCrypto

Révisions

1.0 : 28 février 2020, publication initiale

Résumé

Veritas System Recovery est affecté par la vulnérabilité de Microsoft Windows CryptoAPI n° CVE-2020-0601.

Problème	Description	Gravité	Version corrigée
1	Veritas System Recovery est affecté par la vulnérabilité de Microsoft Windows CryptoAPI n° CVE-2020-0601.	Critique	S. O.

Problème

Description

Gravité

Version corrigée

Veritas System Recovery est affecté par la vulnérabilité de Microsoft Windows CryptoAPI n° CVE-2020-0601.

Critique

S. O.

Problèmes

En février 2020, Microsoft a publié un avis de sécurité pour un problème critique dans Windows CryptoAPI qu'un attaquant était susceptible d'exploiter « en utilisant un certificat de signature du code falsifié pour signer un fichier exécutable malveillant, faisant ainsi croire que le fichier provenait d'une source légitime de confiance ». Dans certains cas, Veritas System Recovery (VSR) vérifie les certificats de signature du code et pourrait être affecté par cette vulnérabilité. Une vérification est effectuée dans les cas suivants :

Installation initiale du produit
Installation d'une mise à jour du produit
Opération physique à virtuel (P2V) grâce au serveur VMware ESX

Versions affectées

Toutes les versions de VSR sont affectées lorsqu'elles s'exécutent sur une version vulnérable de Windows. Les versions non corrigées de Windows 10, Windows Server 2016 et 2019 sont vulnérables. Toutes les autres versions de Windows ne sont pas vulnérables au problème.

Remédiation

La seule façon de remédier au problème consiste à installer la mise à jour Windows de Microsoft qui corrige la vulnérabilité. Aucune mise à jour ne sera apportée à VSR pour résoudre ce problème, car cette vulnérabilité est propre à Microsoft Windows, et non à VSR.

Prévention

Chacun des trois cas dans lesquels la vulnérabilité se produit peut être corrigé en évitant certaines tâches :

N'effectuez pas une installation initiale de VSR sur un système tant que la mise à jour Windows n'a pas été installée.
Ne mettez pas à jour VSR sur un système tant que la mise à jour Windows n'a pas été installée.
N'effectuez pas une opération P2V sur un système associé à ESX tant que la mise à jour Windows n'a pas été installée sur le système protégé.

Les utilisateurs peuvent continuer d'effectuer des sauvegardes et des restaurations non-P2V sur des systèmes vulnérables sans risquer de déclencher la vulnérabilité.

Références

Avis de sécurité Microsoft pour CVE-2020-0601