Trochę pospieszyliśmy się z gloryfikowaniem błyskawicznej reakcji Microsoftu na ogłoszenie występowania „przerażającej” luki we wszystkich wersjach systemów Windows 10. Wprawdzie gigant z Redmond udostępnił błyskawicznie stosowną poprawkę, ale poprawka ta… nie działa, a raczej nie chce się zainstalować. Aktualizacja oznaczona numerem KB4528760 nie jest w stanie poprawnie zainstalować się na moim i innym redakcyjnym komputerze, a także na komputerach wielu innych internautów, którzy skarżą się na to w wątku na Reddicie i na oficjalnym forum Microsoftu.
Łatka o numerze KB4528760, która powinna łatać luki w systemach Windows 10 w wersji 1909 i 1903 na końcu procesu instalacji wyświetla błąd o treści: „Wystąpiły problemy podczas instalowania pewnych aktualizacji, ale spróbujemy ponownie później”. Niestety, mimo upływu dni sytuacja się powtarza. Ostatnio sprawdzałem czy błąd występuje w momencie oddawania niniejszego wpisu do publikacji.
Microsoft zdaje się od kilku dni zupełnie bagatelizować problem, jednakże błąd łatany przez poprawkę jest na tyle poważny, że ostrzega przed nim nawet amerykańskie NSA, czyli tamtejsza wewnętrzna agencja wywiadowcza. Wszystkie osoby bez stosownej aktualizacji narażone są na atak związany ze sposobem w jaki certyfikaty Elliptic Curve Cryptography (ECC) weryfikowane są przez CryptoAPI (Crypt32.dll).
Exploit pozwala wykorzystać sytuację następującą po przeprowadzeniu ataku typu man-in-the-middle, w której napastnik chce podłożyć ofierze certyfikat, który przez Windowsa będzie akceptowany jako prawidłowy ze względu na wskazany we wcześniejszym akapicie błąd. Dzięki temu będzie mógł odszyfrować część ruchu sieciowego bądź zaserwowanie ofierze szkodliwego oprogramowania z „zaufanym” certyfikatem.
Istnieje możliwość ręcznego pobrania i zainstalowania poprawki z serwerów Microsoftu za pośrednictwem przeglądarki internetowej. Stosowny plik pobierzecie spod tego adresu (dzięki Łukasz!).
Jeśli nie wiecie czy Wasz system został zaktualizowany przejdźcie do Windows Update na swoim komputerze i wyszukajcie aktualizacje ręcznie. Sprawdźcie czy aktualizacja się instaluje, a jeśli nie… zalecamy kontakt z Microsoftem. Niech firma wie, że poszkodowani użytkownicy nie będą przyglądać się biernie temu, co się dzieje.