La Agencia de Seguridad Nacional es reconocida públicamente por su hallazgo e informe de CVE-2020-0601, que marca el comienzo de lo que dice es un nuevo enfoque de seguridad.
El primer parche del martes de 2020 tiene la industria zumbando alrededor de 49 CVE, en particular una vulnerabilidad de suplantación de Windows CryptoAPI revelada a Microsoft por la Agencia de Seguridad Nacional de EE. UU. (NSA).
CVE-2020-0601, que afecta la funcionalidad criptográfica de Windows, existe en Windows 10, Windows Server 2016 y Windows Server 2019. Microsoft lo clasifica como Importante y califica como de nivel uno, o "más probable de explotación", en su aviso publicado hoy. Ni Microsoft ni la NSA han visto esta vulnerabilidad utilizada en la naturaleza, y la agencia dijo que no la había visto en una herramienta.
La falla de validación de certificados existe en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC). Un atacante podría explotar el error mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, por lo que el archivo parece ser de una fuente conocida y confiable. El movimiento podría engañar a los usuarios y al software antivirus, explica el DHS en un directiva de emergencia en los parches de hoy. Ni el usuario ni el programa AV sabrían que un archivo es malicioso.
Con esta vulnerabilidad, un atacante podría emitir un certificado creado con fines malintencionados para un nombre de host que no lo autorizó. Como resultado, un navegador que se base en CryptoAPI no emitiría una advertencia al usuario, dándole acceso al intruso para modificar o inyectar datos en las conexiones del usuario. La explotación exitosa también podría permitir a un atacante lanzar ataques de intermediario y descifrar datos confidenciales sobre las conexiones de los usuarios con el software afectado.
Algunos lugares donde se puede violar la confianza incluyen conexiones HTTPS, archivos y correos electrónicos firmados, y código ejecutable firmado lanzado como procesos en modo de usuario, dice la NSA en un asesor. Un atacante podría comprometer los certificados web y espiar el tráfico como parte de un ataque de intermediario, o comprometer correos electrónicos firmados digitalmente. Para aplicaciones que usan firmas para verificación, un atacante podría manipular a un usuario para que implemente una aplicación maliciosa que está firmada y parece real.
Si se explota, CVE-2020-0601 podría hacer que las plataformas afectadas sean "fundamentalmente vulnerables", dicen los funcionarios, y las consecuencias de no reparar esta falla son "graves y generalizadas". La agencia anticipa que las herramientas de explotación remota estarán disponibles de forma rápida y amplia.
"El radio de explosión es lo más malo posible", dice Will Ackerly, CTO y cofundador de Virtu, que pasó ocho años con la NSA, donde fue arquitecto de tecnología y creó el Trusted Data Format (TDF). Si el sistema operativo cree que el software es confiable, los usuarios no verán ciertos diálogos y se omitirán ciertos bloques.
"Ataca la confianza", dice el Dr. Richard Gold, director de ingeniería de seguridad en Digital Shadows, sobre la vulnerabilidad. "Ya no es posible confiar en las garantías criptográficas proporcionadas por un sistema sin parches". En este sentido, continúa, se trata de un error "muy grave", ya que ataca la confianza que las empresas tienen en un sistema para verificar actualizaciones, verificar firmas y otras medidas.
Nueva cooperación entre proveedores de la NSA
Microsoft ha acreditado públicamente a la NSA con informar CVE-2020-0601, un cambio de la práctica de la agencia de mantener las vulnerabilidades en secreto. Marca el comienzo de un nuevo enfoque de la NSA, dijo la directora de ciberseguridad de la NSA, Anne Neuberger, en una llamada con los periodistas hoy.
"Pensamos mucho en eso", dijo Neuberger con respecto a la decisión de permitir la atribución. Si bien la NSA ha estado descubriendo vulnerabilidades durante mucho tiempo, nunca ha permitido la atribución pública de informar una vulnerabilidad.
Los expertos de la NSA analizan cuidadosamente el software, especialmente el software que el gobierno de EE. UU. Planea usar, incluidos Windows y productos comerciales. Hicieron una evaluación y se la entregaron a Microsoft. No está claro cuánto tiempo pasó entre el descubrimiento de la NSA del error y el parche de Microsoft.
Neuberger dice que la agencia encuentra vulnerabilidades de manera rutinaria, pero con respecto al proceso de informes, "estamos trabajando para hacer varias cosas de manera diferente a lo largo del camino". La NSA sigue el proceso de valores de vulnerabilidades (VEP), que es utilizado por el gobierno federal para determinar cómo tratar las vulnerabilidades caso por caso: ¿deben divulgarse al público para mejorar la seguridad informática o deben mantenerse? secreto para uso ofensivo del gobierno? VEP fue creado entre 2008-2009; el gobierno reveló públicamente el proceso en noviembre de 2017.
Ackerly de Virtu dice que este cambio es el siguiente paso de un cambio gradual que notó durante su tiempo en la NSA. Neuberger se ha coordinado con otras agencias y condados, donde sus contrapartes hablaron sobre el valor del compromiso público. Ahora estamos viendo a la NSA avanzar en esto.
¿Verá más informes de vulnerabilidad de la NSA? "Abordaremos cada situación por sus propios méritos", dijo Neuberger en respuesta.
Pero no dejes de parchar allí
Microsoft también reveló hoy varios errores de Windows RDP. CVE-2020-0609 y CVE-2020-0610 son vulnerabilidades críticas de ejecución remota de código de Windows RDP Gateway Server que existen cuando un atacante no autenticado se conecta a un sistema de destino mediante RDP y envía solicitudes especialmente diseñadas. Ambos son de autenticación previa y no requieren interacción del usuario; para explotarlos, un atacante necesitaría enviar una solicitud especialmente diseñada a la puerta de enlace RD de un sistema de destino a través de RDP. Las dos vulnerabilidades afectan a Windows Server 2012 y posteriores.
También hay CVE-2020-0611, una vulnerabilidad de Remote Desktop Client RCE que existe cuando un usuario se conecta a un servidor malicioso. Un atacante primero necesitaría tener el control del servidor y luego convencer a un usuario para que se conecte mediante ingeniería social, envenenamiento de DNS o un ataque de hombre en el medio. Si tienen éxito, podrían ejecutar código arbitrario en la máquina de conexión e instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Este error afecta a Windows Server 2012 y versiones posteriores, así como a Windows 7 y versiones posteriores.
La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) desconoce la explotación activa de estas vulnerabilidades, escribieron los funcionarios en un aviso AA20-014A. Se aconseja a las organizaciones que prioricen los parches para sistemas de misión crítica, sistemas con conexión a Internet y servidores en red.
Más información
Kelly Sheridan es la editora de personal de Dark Reading, donde se especializa en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que trabajó anteriormente para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas ... Ver Biografía completa
Más Información
