Exploits de prueba de concepto publicados para el error criptográfico Microsoft-NSA

Los investigadores de seguridad han publicado hoy el código de prueba de concepto (PoC) para explotar una vulnerabilidad recientemente parcheada en el sistema operativo Windows, una vulnerabilidad que ha sido reportada a Microsoft por la Agencia de Seguridad Nacional de EE. UU. (NSA).

El mistake, que algunos comenzaron a llamar CurveBall, afecta a CryptoAPI (Crypt32.dll), el componente que maneja las operaciones criptográficas en el sistema operativo Home windows.

De acuerdo a un análisis técnico de alto nivel del error del investigador de seguridad cibernética Tal Be&#39ery, «la causa raíz de esta vulnerabilidad es una implementación defectuosa de la criptografía de curva elíptica (ECC) dentro del código de Microsoft».

Según la NSA, el DHS y Microsoft, cuando se explota, este error (rastreado como CVE-2020-0601) puede permitir que un atacante:

• lanzar ataques MitM (guy-in-the-center) e interceptar y falsificar conexiones HTTPS
• firmas falsas para archivos y correos electrónicos
• código falso ejecutable firmado ejecutado dentro de Home windows

Expertos: «en serio, en serio mal»

Hablando en Twitter, el asesor interino de Seguridad Nacional Rob Joyce describió el error como «en serio muy en serio«.

Las autoridades estadounidenses reaccionaron a la vulnerabilidad de manera muy abierta y proactiva. La NSA liberada una alerta de seguridad rara sobre el mistake, y el departamento de CISA del DHS emitió una directiva de emergencia, dando a las agencias gubernamentales diez días para parchear los sistemas aplicando las actualizaciones del martes de parches de Microsoft 2020 de enero de 2020.

Esta es la primera vez que la NSA informa un mistake a Microsoft. Se podría decir que la agencia está en una gira de prensa para mejorar su imagen en la comunidad de ciberseguridad después del EternoAzul y Corredores de las sombras desastres, cuando las herramientas de piratería desarrolladas por la NSA se filtraron en línea y se utilizaron para algunas de las mayores infecciones de malware y ataques cibernéticos conocidos hasta la fecha.

Sin embargo, la gravedad de la vulnerabilidad no puede ser minimizada por el intento de la NSA de «girar una nueva hoja«con la comunidad infosec.

A los expertos en seguridad y criptógrafos astutos y experimentados les gusta Thomas Ptacek y Kenneth White han confirmado la gravedad de la vulnerabilidad y su amplio impacto, aunque no afecta el mecanismo de actualización de Windows, lo que habría permitido que un actor de amenazas falsifique las actualizaciones de Windows.

PoC exploits lanzados en línea

En una publicación de web site el martes, White dijo que estaba al tanto de que a algunas personas les faltaba días para encontrar un exploit para la vulnerabilidad CurveBall.

El primero en llegar a uno fue Saleem Rashid, quien creó un código de prueba de concepto para falsificar certificados TLS y permitir que los sitios se hagan pasar por legítimos.

Rashid no publicó su código, pero otros sí, horas después. los primer exploit público de CurveBall vino de Kudelski Stability, seguido de una segunda de un investigador de seguridad danés llamado Ollypwn.

En su aviso oficial de seguridad para CVE-2020-0601, Microsoft describió la posibilidad de que los actores de amenazas exploten el error como «más possible». Con el código de demostración público disponible, las posibilidades de explotación ahora también están aseguradas.

La buena noticia en todo esto es que incluso si los usuarios no han tenido tiempo de programar el tiempo para instalar los parches, Home windows Defender ha recibido actualizaciones para al menos detectar intentos de explotación activa y advertir a los usuarios. Según Microsoft, esta vulnerabilidad afecta a las versiones del sistema operativo Home windows 10, Windows Server 2019 y Home windows Server 2016.