Billede: ZDNet
Microsoft sagde i dag, at det har planer om at blokere bindingen af visse Bluetooth Low Energy (BLE) sikkerhedsnøglerne på Windows på grund af en sårbarhed, sine ingeniører opdaget i BLE parring protokol tidligere i år.
Den sårbarhed Microsoft refererer til er den samme sikkerhed fejl, som har tvunget Google til at huske alle BLE-baseret Titan security keys sidste måned, og tilbyder gratis erstatninger til sine kunder.
Den sårbarhed, der spores som CVE-2019-2102, blev opdaget tidligere i år af to Microsoft security forskere — Erik Peterson, og Matt Bæver.
De to fandt, at en fejlkonfiguration i gennemførelsen af den BLE parring protokol ville have gjort det muligt for en lokal angriber i nærheden af et offer for at parre en rogue BLE enhed til en brugers system (smartphone, bærbar PC uden brugerens viden eller interaktion.
På det tidspunkt, kun BLE-kompatibel Google Titan og Feitian sikkerhedsnøgler blev fundet til at være påvirket af denne sårbarhed, og både virksomheder tilbydes gratis afløsere til deres kunder.
Microsoft yder en indsats på OS-niveau
I dag, Microsoft tog også skridt til at beskytte Windows-brugere i tilfælde af, at de bruger andre BLE sikkerhed nøgler, der er sårbare over for den samme CVE-2019-2102 sårbarhed.
“For at løse dette problem, har Microsoft har blokeret bindingen af disse Bluetooth Low Energy (BLE) taster med parring fejlkonfiguration,” sagde Microsoft i en sikkerhedsmeddelelse, der offentliggøres i dag.
Denne security advisory — ADV190016 — er en del af Microsofts juni 2019 Patch tirsdag opdateringer, som selskabet har frigivet blot et par timer siden.
Dette betyder, at efter anvendelse dagens sikkerhedsopdateringer til Windows-brugere vil blive beskyttet på OS niveau mod en ukendt BLE enhedens bindinger, der kan også være sårbar over for dette angreb.
I sidste uge udgav Google lignende sikkerhedsrettelser til Android-styresystemet, som omfatter programrettelser til CVE-2019-2102, der forhindrer angribere fra at udnytte denne BLE-protokollen fejlkonfiguration at parre ondsindede BLE-enheder til en Android-smartphone.
Microsofts ADV190016 gør de samme ting, men for Windows-brugere.
For Linux og macOS-brugere, kan det anbefales, at de følger Google ‘ s rådgivning om dette emne, og kun par BLE sikkerhed nøgler med deres operativsystemer i miljøer, hvor en angriber, der ikke fysisk er i nærheden af.
Mere sårbarhed rapporter:
Microsofts juni 2019 Patch tirsdag løser mange af SandboxEscaper er nul-daysDiebold Nixdorf advarer kunder af RCE fejl i ældre Pengeautomater
Windows 10 nul-dag oplysninger, der offentliggøres på GitHubMajor HSM sårbarheder indvirkning banker, cloud-leverandører, regeringer’RAMBleed’ Rowhammer angreb kan nu stjæle data, ikke bare ændre itRemote angribe fejl, der er fundet i IPTV-streaming serviceKRACK angreb: Her er hvordan virksomheder reagerer CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre