Cómo un investigador explotó el error de Windows 10 parcheado por Microsoft


El investigador de seguridad Saleem Rashid se "rickrolleó" para mostrar que el error podía ser explotado en el mundo real para falsificar certificados de seguridad en máquinas sin el parche de Microsoft.

Las 5 formas adicionales de defenderse del ransomware
En 2019, 23 gobiernos municipales en Texas experimentaron un ataque coordinado de ransomware. Tom Merritt explica cómo se defendieron y las formas en que puede proteger su propio negocio.

Esta semana, Microsoft se vio obligado a corregir rápidamente un error de seguridad en Windows 10 y Windows Server 2016/2019 que podría haber permitido a los atacantes falsificar certificados de seguridad legítimos como una forma de obtener el control de una PC infectada. Se le solicitó a Microsoft que actuara después de que la NSA descubriera e informara en privado sobre el error, lo que evidenciaba una falla grave en la forma en que las últimas versiones de Windows y Windows Server verifican la validez de ciertos certificados de seguridad.

Al lanzar la corrección el 14 de enero como parte de su línea mensual de Patch Tuesday, Microsoft calificó el parche como una actualización "Importante" en lugar de una actualización "Crítica", presumiblemente porque la compañía dijo que no había encontrado ningún ejemplo del mundo real en el que el La vulnerabilidad había sido explotada.

VER: Los 10 ciberataques más importantes de la década (PDF gratuito) (TechRepublic)

Pero ahora, un investigador de seguridad ha demostrado cómo se puede explotar la falla en el mundo real.

En un tweet el miércoles investigador Saleem Rashid, mostró imágenes de su explotación del error en Google Chrome y Microsoft Edge. Las imágenes muestran a Rashid usando un proceso conocido como "rickrolling, "que crea un enlace a un sitio web supuestamente legítimo pero en realidad redirige al usuario a un video musical de la canción"Nunca te abandonaré"por el cantante Rick Astley. El proceso se utiliza para mostrar cómo se puede engañar a alguien para que haga clic en un enlace que conduce a un lugar inesperado y potencialmente malicioso.

La vulnerabilidad de Windows, que ha sido etiquetada CVE-2020-0601, permitiría que alguien falsifique un certificado de seguridad legítimo, lo que podría hacer que un sitio malicioso parezca confiable debido al certificado falso. Específicamente, la vulnerabilidad es el resultado de una falla en la criptografía de curva elíptica (ECC) que Microsoft usó en su código para Windows 10 y Windows Server 2016 y 2019.

En sus pruebas, Rashid pudo aprovechar la vulnerabilidad al crear código para crear certificados de seguridad falsos como una forma de falsificar los sitios web seguros y verificados de Github y la Agencia de Seguridad Nacional. Sin el parche de Microsoft, la vulnerabilidad puede explotarse en Chrome, Edge e Internet Explorer, pero aparentemente no en Firefox.

Un vocero de Google confirmó que los usuarios de Chrome están protegidos con el último parche de Microsoft, pero que Google está implementando una actualización de su navegador para asegurarlo aún más.

"Lo que Saleem acaba de demostrar es: con un script (breve) puede generar un certificado para cualquier sitio web, y es totalmente confiable en IE y Edge con solo la configuración predeterminada para Windows", Kenn White, investigador y director de seguridad de MongoDB, le dijo a Ars Technica. "Eso es bastante horrible. Afecta a las puertas de enlace VPN, VoIP, básicamente cualquier cosa que use comunicaciones de red".

Si se explota, el error puede permitir que un atacante realice ataques Man-in-the-Middle, intercepte y falsifique conexiones HTTPS, firmas falsas para archivos y correos electrónicos, y código ejecutable firmado falso lanzado dentro de Windows.

Hasta aquí, Rashid no ha publicado el código solía explotar la falla. Sin embargo, otros se han subido a ese carro. La firma de seguridad Kudelski Security tiene publicó el código a través de GitHub, mientras que un investigador de seguridad danés llamado Ollypwn hizo lo mismo. En una publicación de blog, Kudelski Security explicó por qué lanzó el código públicamente y cómo funcionaría para explotar la vulnerabilidad.

VER: Política de gestión de parches (TechRepublic Premium)

En el lado positivo, Kudelski Security también dijo que explotar la falla no es algo que el pirata informático o el cibercriminal promedio podrían lograr.

"Al final, tenga en cuenta que dicha vulnerabilidad no está en riesgo de ser explotada por script kiddies o ransomware", dijo la firma de seguridad. "Si bien sigue siendo un gran problema porque podría haber permitido un ataque de Man-in-the-Middle contra cualquier sitio web, tendrías que enfrentarte a un adversario que posee la red en la que operas, lo que es posible para los adversarios del estado-nación , pero menos para un guión kiddie.

"Es por eso que estamos lanzando este PoC (Prueba de concepto), la explotabilidad de esta vulnerabilidad no es lo suficientemente buena como para provocar una amenaza repentina de ransomware (a diferencia de la que teníamos con Wannacry)", agregó Kudelski Security. "Probablemente, esta es también la razón por la cual la NSA decidió no armar su hallazgo, sino más bien revelarlo: para ellos, lo mejor es parchar a los EE. UU. En lugar de conservarlo y correr el riesgo de que se use contra los EE. UU. la superficie de ataque es tan vasta ".

Sin embargo, en última instancia, la mejor defensa es actualizar las PC y servidores Windows afectados con el parche de Microsoft para asegurarse de que esas máquinas estén completamente protegidas contra esta última amenaza.

Ver también

Virus

Imagen: Getty Images / iStockphoto





Enlace a la noticia original