Un magasin protégé est fourni dans le cadre de CryptoAPI, afin de fournir un stockage sécurisé des informations sensibles telles que des clés privées et des certificats. De par sa conception, le magasin protégé doit toujours crypter les informations en utilisant la cryptographie forte disponible sur la machine. Cependant, la mise en œuvre Windows 2000 utilise la clé 40 bits pour chiffrer le magasin protégé, même si la cryptographie forte est installé sur la machine.
Cette vulnérabilité affaiblit la protection sur le magasin protégé, mais ne l'élimine pas. Un attaquant aurait besoin de prendre le contrôle administratif complet sur la machine qui héberge le magasin protégé afin d'y avoir accès, et même alors, aurait encore besoin pour monter une attaque cryptographique force brute contre elle. Toutefois, les clients qui suivent la remise en recommandé pour cette vulnérabilité peuvent faire en sorte qu'une telle attaque serait beaucoup plus difficile, voire impossible.
Le package correctif pour éliminer cette vulnérabilité contient une nouvelle version de PSBASE.DLL, le module qui fournit la fonctionnalité de magasin protégé, et un outil nommé Keymigrt.exe. Installation PSBASE.DLL veillera à ce que tous les ajouts futurs à l'emplacement protégé sont cryptées en utilisant la cryptographie forte disponible sur la machine. Cependant, l'outil Keymigrt doit également être exécuté, afin de chiffrer à nouveau tous les éléments actuellement dans le magasin protégé. Nous recommandons que les administrateurs système placent l'outil Keymigrt en ouverture de session les scripts des utilisateurs pour assurer que l'outil est exécuté la prochaine fois qu'ils se connectent.
Commentaires non trouvées