Microsoft parchea la vulnerabilidad de Windows descubierta por la NSA



La Agencia de Seguridad Nacional es reconocida públicamente por su hallazgo e informe de CVE-2020-0601, lo que marca el comienzo de lo que dice es un nuevo enfoque de seguridad.

El primer parche del martes de 2020 tiene la industria zumbando alrededor de 49 CVE, en unique una vulnerabilidad de suplantación de Windows CryptoAPI revelada a Microsoft por la Agencia de Seguridad Nacional de EE. UU.

CVE-2020-0601, que afecta la funcionalidad criptográfica de Windows, existe en Home windows 10, Windows Server 2016 y Home windows Server 2019. Microsoft lo clasifica como Importante y califica como de nivel uno, o «más probable de explotación», en su aviso publicado hoy. Ni Microsoft ni la NSA han visto esta vulnerabilidad utilizada en la naturaleza, y la agencia dijo que no la había visto en una herramienta.

La falla de validación de certificados existe en la forma en que Home windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC). Un atacante podría explotar el error mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, por lo que el archivo parece ser de una fuente conocida y confiable. El movimiento podría engañar tanto a los usuarios como al software package antivirus, explica el DHS en un directiva de emergencia en los parches de hoy. Ni el usuario ni el programa AV sabrían que un archivo es malicioso.

Con esta vulnerabilidad, un atacante podría emitir un certificado creado con fines malintencionados para un nombre de host que no lo autorizó. Como resultado, un navegador que se base en CryptoAPI no emitiría una advertencia al usuario, dándole acceso al intruso para modificar o inyectar datos en las conexiones del usuario. La explotación exitosa también podría permitir a un atacante lanzar ataques de intermediario y descifrar datos confidenciales sobre las conexiones de los usuarios con el program afectado.

Algunos lugares donde se puede violar la confianza incluyen conexiones HTTPS, archivos y correos electrónicos firmados, y código ejecutable firmado lanzado como procesos en modo de usuario, dice la NSA en un consultivo. Un atacante podría comprometer los certificados website y espiar el tráfico como parte de un ataque de intermediario, o comprometer correos electrónicos firmados digitalmente. Para aplicaciones que usan firmas para verificación, un atacante podría manipular a un usuario para que implemente una aplicación maliciosa que está firmada y parece real.

Si se explota, CVE-2020-0601 podría hacer que las plataformas afectadas sean «fundamentalmente vulnerables», dicen los funcionarios, y las consecuencias de no reparar esta falla son «graves y generalizadas». La agencia anticipa que las herramientas de explotación remota estarán disponibles de forma rápida y amplia.

«El radio de explosión es lo más malo posible», dice Will Ackerly, CTO y cofundador de Virtu, que pasó ocho años con la NSA, donde fue arquitecto de tecnología y creó el Reliable Information Format (TDF). Si el sistema operativo cree que el software program es confiable, los usuarios no verán ciertos diálogos y se omitirán ciertos bloques.

«Ataca la confianza», dice el Dr. Richard Gold, director de ingeniería de seguridad de Electronic Shadows, sobre la vulnerabilidad. «Ya no es posible confiar en las garantías criptográficas proporcionadas por un sistema sin parches». En este sentido, continúa, este es un error «muy grave», ya que ataca la confianza que las empresas tienen en un sistema para verificar actualizaciones, verificar firmas y otras medidas.

Nueva cooperación entre proveedores de la NSA

Microsoft ha acreditado públicamente a la NSA con informar CVE-2020-0601, un cambio de la práctica de la agencia de mantener las vulnerabilidades en secreto. Marca el inicio de un nuevo enfoque de la NSA, dijo la directora de ciberseguridad de la NSA, Anne Neuberger, en una llamada con los periodistas hoy.

«Pensamos mucho en eso», dijo Neuberger con respecto a la decisión de permitir la atribución. Si bien la NSA ha estado descubriendo vulnerabilidades durante mucho tiempo, nunca ha permitido la atribución pública de informar una vulnerabilidad.

Los expertos de la NSA analizan cuidadosamente el software package, especialmente el software package que el gobierno de EE. UU. Planea utilizar, incluidos Windows y productos comerciales. Hicieron una evaluación y se la entregaron a Microsoft. No está claro cuánto tiempo pasó entre el descubrimiento de la NSA del mistake y el parche de Microsoft.

Neuberger dice que la agencia encuentra vulnerabilidades de forma rutinaria, pero con respecto al proceso de presentación de informes, «estamos trabajando para hacer varias cosas de manera diferente en el camino». La NSA sigue el proceso de renta variable de vulnerabilidades (VEP), que es utilizado por el gobierno federal para determinar cómo tratar las vulnerabilidades caso por caso: en caso de que se divulguen al público para mejorar la seguridad informática, o deben mantenerse secreto para uso ofensivo del gobierno? VEP fue creado entre 2008-2009 El gobierno divulgó públicamente el proceso en noviembre de 2017.

Ackerly de Virtu dice que este cambio es el siguiente paso de un cambio gradual que notó durante su tiempo en la NSA. Neuberger se ha coordinado con otras agencias y condados, donde sus contrapartes hablaron sobre el valor del compromiso público. Ahora estamos viendo a la NSA avanzar en esto.

¿Verá más informes de vulnerabilidad de la NSA? «Abordaremos cada situación por sus propios méritos», dijo Neuberger en respuesta.

Pero no dejes de parchar allí

Microsoft hoy también reveló múltiples errores de Home windows RDP. CVE-2020-0609 y CVE-2020-0610 son vulnerabilidades críticas de ejecución remota de código de Windows RDP Gateway Server que existen cuando un atacante no autenticado se conecta a un sistema de destino mediante RDP y envía solicitudes especialmente diseñadas. Ambos son de autenticación previa y no requieren interacción del usuario para explotarlos, un atacante necesitaría enviar una solicitud especialmente diseñada a la puerta de enlace RD de un sistema de destino a través de RDP. Las dos vulnerabilidades afectan a Home windows Server 2012 y posteriores.

También hay CVE-2020-0611, una vulnerabilidad de Remote Desktop Shopper RCE que existe cuando un usuario se conecta a un servidor malicioso. Un atacante primero necesitaría tener el handle del servidor y luego convencer a un usuario para que se conecte a través de ingeniería social, envenenamiento de DNS o un ataque de hombre en el medio. Si tienen éxito, podrían ejecutar código arbitrario en la máquina de conexión e instalar programas ver, cambiar o eliminar datos o crear nuevas cuentas con plenos derechos de usuario. Este mistake afecta a Windows Server 2012 y versiones posteriores, así como a Windows 7 y versiones posteriores.

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) desconoce la explotación activa de estas vulnerabilidades, escribieron los funcionarios en un aviso AA20-014A. Se aconseja a las organizaciones que prioricen los parches para sistemas de misión crítica, sistemas con conexión a Internet y servidores en red.

contenido relacionado

Kelly Sheridan es la Editora de particular de Dark Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance policy & Technological innovation, donde cubrió asuntos financieros … Ver biografía completa

Más ideas





Enlace a la noticia authentic