Microsoft parcha una falla grave de Home windows después de un aviso de la NSA


La agencia de inteligencia de EE. UU. Espera que los atacantes no pierdan el tiempo desarrollando herramientas destinadas a explotar la vulnerabilidad

Microsoft ha enviado un parche de seguridad para abordar una vulnerabilidad grave en el sistema operativo Home windows que, si se abusa de él, podría permitir a los atacantes hacer que el malware parezca un código de una fuente legítima.

La vulnerabilidad, que se está solucionando como parte del lanzamiento de Patch Tuesday de este mes, afecta un componente criptográfico clave de Windows 10, Windows Server 2019 y Home windows Server 2016. La falla fue descubierta por la Agencia de Seguridad Nacional de los Estados Unidos (NSA), que , por primera vez, ahora se le atribuye oficialmente el descubrimiento de una vulnerabilidad de software.

Indexado como CVE-2020-0601, el mistake reside «en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC)», se lee El aviso de seguridad de Microsoft. los Crypt32.dll El módulo es responsable de muchas funciones de certificado y mensajería criptográfica en CryptoAPI.

«Un atacante podría aprovechar la vulnerabilidad utilizando un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima», dijo Microsoft.

En otras palabras, un actor de amenazas podría hacer que las víctimas instalen malware al pasarlo como, por ejemplo, una actualización de computer software legítima, incluso de Microsoft, mientras que los objetivos no serían más sabios.

«El usuario no tendría forma de saber que el archivo period malicioso, porque la firma digital parecería ser de un proveedor confiable», según el gigante tecnológico.

«Una explotación exitosa también podría permitir al atacante realizar ataques de intermediario y descifrar información confidencial sobre las conexiones de los usuarios con el software afectado», dijo Microsoft.

«Severo y generalizado»

Horas antes del anuncio oficial, comenzaron a surgir rumores de que esto no sería un lanzamiento típico de Patch Tuesday. De hecho, algunos miembros de la comunidad de seguridad pueden haber estado esperando alfileres y agujas después de que el veterano periodista de seguridad Brian Krebs insinuó la magnitud del problema:

«Una vulnerabilidad de seguridad extraordinariamente grave», escribió Krebs cuando describiendo el mistake en la noche del lunes. Se dice que el gobierno de los EE. UU., Las fuerzas armadas y varias compañías de alto perfil han recibido notificaciones y parches por adelantado para corregir la falla.

La gravedad de la situación eventualmente provocó un grupo de comunicaciones oficiales de las autoridades estadounidenses. Esto incluyó un alerta de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), un directiva de emergencia del Departamento de Seguridad Nacional (DHS) solicitando parches acelerados en entidades federales, y un asesoramiento de la NSA sí mismo.

“Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Las herramientas de explotación remota probablemente estarán disponibles de forma rápida y amplia. La adopción rápida del parche es la única mitigación conocida en este momento y debería ser el foco principal para todos los propietarios de redes ”, dijo la agencia de inteligencia. Ni la NSA ni Microsoft son conscientes de la falla abusado en la naturaleza.

Windows 7, que sucedió a llegar a su fin de vida en este mismo día, Home windows 8 u otros sistemas Windows no se ven afectados por la vulnerabilidad.

El paquete Patch Tuesday de este mes está compuesto por correcciones para un overall de 49 vulnerabilidades, que casi se resumen en Esta mesa por el Instituto de Tecnología SANS. Dos fallas críticas en Windows Remote Desktop Gateway (RD Gateway), CVE-2020-0609 y CVE-2020-0610, se destacan, ya que permiten a los atacantes remotos no autenticados ejecutar código arbitrario en el sistema objetivo.








Enlace a la noticia unique