Vulnerabilidad crítica de Windows descubierta por la NSA


Vulnerabilidad crítica de Windows descubierta por la NSA

Los parches de Microsoft Home windows de ayer incluyeron una solución para un vulnerabilidad crítica en la biblioteca criptográfica del sistema.

Existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC).

Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima. El usuario no tendría forma de saber que el archivo era malicioso, porque la firma electronic parecería ser de un proveedor confiable.

Una explotación exitosa también podría permitir al atacante realizar ataques de intermediarios y descifrar información confidencial sobre las conexiones de los usuarios con el program afectado.

Eso es realmente malo, y todos deberían parchear su sistema ahora mismo, antes de terminar de leer esta publicación de web site.

Esta es una vulnerabilidad de día cero, lo que significa que no se detectó en la naturaleza antes del lanzamiento del parche. Fue descubierto por investigadores de seguridad. Curiosamente, fue descubierto por investigadores de seguridad de la NSA, y el Aviso de seguridad de la NSA proporciona mucha más información al respecto que el aviso de Microsoft.

La explotación de la vulnerabilidad permite a los atacantes derrotar conexiones de crimson confiables y entregar código ejecutable mientras aparecen como entidades legítimamente confiables. Los ejemplos en los que la validación de confianza puede verse afectada incluyen:

  • Conexiones HTTPS
  • Archivos firmados y correos electrónicos
  • Código ejecutable firmado lanzado como procesos en modo de usuario

La vulnerabilidad pone en riesgo los puntos finales de Home windows para una amplia gama de vectores de explotación. La NSA evalúa que la vulnerabilidad es severa y que los actores cibernéticos sofisticados comprenderán la falla subyacente muy rápidamente y, si se explotan, harían que las plataformas mencionadas anteriormente sean fundamentalmente vulnerables. Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Es probable que las herramientas de explotación remota estén disponibles de manera rápida y amplia. La adopción rápida del parche es la única mitigación conocida en este momento y debería ser el foco principal para todos los propietarios de redes.

A primera hora de la mañana de ayer, la directora de la Dirección de Ciberseguridad de la NSA, Anne Neuberger, realizó una llamada a los medios en la que habló sobre la vulnerabilidad y, para mi sorpresa, respondió las preguntas de los asistentes. Según ella, la NSA descubrió esta vulnerabilidad como parte de su investigación de seguridad. (Si lo encontró en el alijo de armas cibernéticas de otra nación, mi teoría favorita personal, declinó decirlo). No respondió cuando se le preguntó cuánto tiempo hace que la NSA descubrió la vulnerabilidad. Ella dijo que esta no es la primera vez que le envió a Microsoft una vulnerabilidad para corregir, pero fue la primera vez que se ha atribuido públicamente el descubrimiento. La razón es que está tratando de reconstruir la confianza con la comunidad de seguridad, y esta divulgación es el resultado de su nueva iniciativa para compartir los hallazgos de manera más rápida y frecuente.

Salvo cualquier otra información, tomaría la NSA en su palabra aquí. Entonces, bien por eso.

Y, en serio, parchea tus sistemas ahora: Windows 10 y Home windows Server 2016/2019. Suponga que esta vulnerabilidad ya ha sido armada, probablemente por delincuentes y ciertamente por los principales gobiernos. Incluso suponga que la NSA está utilizando esta vulnerabilidad, ¿por qué no lo haría?

Ars Technica artículo. Cableado artículo. CERT consultivo.

Publicado el 15 de enero de 2020 a las 6:38 a.m.

comentarios



Enlace a la noticia authentic