Después Adobe lanza hoy En sus primeras actualizaciones de Patch Tuesday para 2020, Microsoft también ha publicado sus avisos de seguridad de enero advirtiendo a miles de millones de usuarios de nuevas vulnerabilidades en sus diversos productos.
Lo que es tan especial acerca de hoy es que una de las actualizaciones corrige una falla grave en el componente criptográfico central de las ediciones Windows 10, Server 2016 y 2019 ampliamente utilizadas que fue descubierta e informada a la compañía por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. Estados
Lo que es más interesante es que esta es la primera falla de seguridad en el sistema operativo Windows que la NSA informó responsablemente a Microsoft, a diferencia de Eternalblue SMB falla que la agencia mantuvo en secreto durante al menos cinco años y luego fue filtrada al público por un grupo misterioso, lo que causó WannaCry amenaza en el 2017.
CVE-2020-0601: Vulnerabilidad de suplantación de Windows CryptoAPI
Según un aviso publicado por Microsoft, la falla, denominada 'NSACrypt' y rastreado como CVE-2020-0601, reside en el módulo Crypt32.dll que contiene varias 'Funciones de certificado y mensajería criptográfica' utilizadas por Windows Crypto API para manejar el cifrado y descifrado de datos.
El problema reside en la forma en que el módulo Crypt32.dll valida los certificados de criptografía de curva elíptica (ECC) que actualmente son el estándar de la industria para la criptografía de clave pública y se utiliza en la mayoría de los certificados SSL / TLS.
En un comunicado de prensa publicado por la NSA, "la vulnerabilidad de validación de certificados permite a un atacante socavar cómo Windows verifica la confianza criptográfica y puede permitir la ejecución remota de código".
La explotación de la vulnerabilidad permite a los atacantes:
- Conexiones HTTPS
- Archivos firmados y correos electrónicos
- Código ejecutable firmado lanzado como procesos en modo usuario
Aunque los detalles técnicos de la falla aún no están disponibles al público, Microsoft confirma que la falla, que si se explota con éxito, podría permitir a los atacantes falsificar firmas digitales en el software, engañando al sistema operativo para que instale software malicioso mientras se hace pasar por la identidad de cualquier software legítimo. —Sin conocimiento de los usuarios.
"Existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC)", dice el aviso de Microsoft.
"Un atacante podría explotar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima. El usuario no tendría forma de saber que el archivo es malicioso porque la firma digital parecería ser de un proveedor confiable ".
Además de esto, la falla en CryptoAPI también podría facilitar a los atacantes remotos intermedios hacerse pasar por sitios web o descifrar información confidencial sobre las conexiones de los usuarios con el software afectado.
"Esta vulnerabilidad está clasificada como Importante y no la hemos visto utilizada en ataques activos", dijo Microsoft en una publicación separada. del blog.
"Esta vulnerabilidad es un ejemplo de nuestra asociación con la comunidad de investigación de seguridad en la que se divulgó una vulnerabilidad de forma privada y se lanzó una actualización para garantizar que los clientes no estuvieran en riesgo".
“Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Las herramientas de explotación remota probablemente estarán disponibles de forma rápida y amplia ”, dijo la NSA.
No hay ninguna solución de mitigación o alternativa disponible para esta vulnerabilidad, por lo que se recomienda encarecidamente que instale las últimas actualizaciones de software dirigiéndose a Configuración de Windows → Actualización y seguridad → Actualización de Windows → haciendo clic en 'Buscar actualizaciones en su PC'.
