Groot encryptiegat in Windows, bekend dankzij de NSA
Onrust vooraf, schrik en verwarring bij de bekendmaking, en vervolgens alle hens aan dek in beveiligingsland. Patchen, en wel nu. De eerste Patch Tuesday van 2020 is gelijk een grote. De ingebouwde encryptiefunctie CryptoAPI van Windows blijkt een ernstige, nee: zeer ernstige kwetsbaarheid te bevatten. Microsoft waarschuwt voor de malafide mogelijkheid van spoofing voor digitaal ondertekende exe-bestanden. De NSA benadrukt de bredere ondermijning van encryptie in, door en op Windows.
Een aanvaller kan deze kwetsbaarheid misbruiken door een certificaat voor digitale ondertekening van software te spoofen om daarmee dan een kwaadaardig uitvoerbaar bestand te ondertekenen. De malafide .exe lijkt dan afkomstig van een vertrouwde aanbieder, en kan dus worden uitgevoerd zonder dat er alarmbellen afgaan.