Microsoft corrige el mistake criptográfico de Windows informado por la NSA


cifrado de criptografía de microsoft

Microsoft ha publicado hoy una actualización de seguridad para corregir «una amplia vulnerabilidad criptográfica» que afecta el sistema operativo Windows.

El mistake fue descubierto e informado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA), dijo la directora de ciberseguridad de la NSA, Anne Neuberger, en una llamada de prensa hoy.

El mistake CVE-2020-0601

La vulnerabilidad, rastreada como CVE-2020-0601, impacta el Home windows CryptoAPI, un componente central del sistema operativo Windows que maneja operaciones criptográficas.

Según un aviso de seguridad publicado hoy, «existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC)».

Microsoft dice que un atacante podría explotar este mistake «para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima».

Pero además de falsificar firmas de archivos, el error también podría usarse para falsificar certificados digitales utilizados para comunicaciones encriptadas.

«Una explotación exitosa también podría permitir al atacante realizar ataques de intermediarios y descifrar información confidencial sobre las conexiones de los usuarios con el application afectado», dijo Microsoft.

Según Microsoft, esta vulnerabilidad afecta a las versiones del sistema operativo Windows 10, Home windows Server 2019 y Windows Server 2016.

Microsoft y la NSA dijeron que no han visto ningún ataque activo que explote este mistake antes del parche de hoy.

Primer crédito de la NSA

El error se considera tan malo como se pone. Neuberger dijo que la agencia dio un paso sin precedentes al informar el mistake, en lugar de atesorar la vulnerabilidad y usarla para sus herramientas y operaciones ofensivas.

La vulnerabilidad CVE-2020-0601 marca la primera vez que Microsoft acredita a la NSA por informar de un error. Otras agencias de ciberseguridad han informado previamente sobre vulnerabilidades importantes a Microsoft. Por ejemplo, el Centro Nacional de Seguridad Cibernética del Reino Unido informó el mistake BlueKeep ahora infame a Microsoft en mayo de 2019.

Neuberger dijo que la NSA que informa este error es un cambio en el enfoque basic de la agencia en materia de seguridad cibernética, y que seguirán otros informes de errores.

Además de informar el error a Microsoft, la agencia también había enviado un aviso por adelantado a los operadores de infraestructura crítica antes de los parches oficiales de hoy, haciéndoles saber que se avecinaba una solución importante.

La agencia ha lanzado su propio aviso de seguridad, con información de mitigación y cómo detectar la explotación, más tarde hoy, también instando al private de TI a acelerar la instalación de las actualizaciones de seguridad de Patch Tuesday de hoy.

La Agencia de Seguridad de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional (DHS CISA) también lanzará hoy una directiva de emergencia alertar al sector privado de EE. UU. y a las entidades gubernamentales sobre la necesidad de instalar las últimas correcciones del sistema operativo Home windows.

«Dada la información a nuestra disposición en este momento, los clientes deben asegurarse absolutamente de que apliquen este parche rápidamente. Esto es cierto para todos los» parches críticos «, pero es doblemente cierto en este momento», dijo Yonatan Striem-Amit, CTO y Cofundador de Cybereason. ZDNet más temprano hoy.



Enlace a la noticia primary