Las defensas de McAfee contra la vulnerabilidad de CryptoAPI de Microsoft


Microsoft hizo noticia esta semana con la vulnerabilidad ampliamente conocida conocida como CVE-2020-0601, que afecta a Home windows CryptoAPI. Esta vulnerabilidad altamente crítica permite a un atacante falsificar firmas y certificados digitales. El atacante usaría certificados de criptografía de curva elíptica (ECC) falsificados para firmar archivos maliciosos para evadir la detección o apuntar a nombres de host específicos para evadir alertas de seguridad del navegador al hacer que parezca que el archivo proviene de una fuente legítima y confiable. El usuario no tendría forma de saber que el archivo era malicioso, porque la firma digital parecería ser de un proveedor confiable. Una explotación exitosa también podría permitir al atacante realizar ataques de intermediarios y descifrar información confidencial sobre las conexiones de los usuarios con el program afectado.

Según los informes, la vulnerabilidad CVE-2020-0601 afecta a las versiones del sistema operativo Home windows 10, Home windows Server 2019 y Windows Server 2016. El parche de Microsoft (a continuación) corrige la vulnerabilidad al garantizar que Home windows CryptoAPI valida por completo los certificados ECC.

Desde que fue identificado, un exploit público POC fue publicado que permitirá a cualquier parte maliciosa usar este exploit para firmar ejecutables como un tercero. Además, el error podría interceptar y falsificar conexiones website seguras (HTTPS) y tiene el poder de falsificar firmas para archivos y correos electrónicos.

Los detalles sobre las defensas empresariales de McAfee contra esta vulnerabilidad se detallan a continuación y están disponibles en el artículo de la base de conocimiento KB92322. Los productos adicionales pueden actualizarse con contramedidas y defensas adicionales a medida que nuestra investigación descubra más. Seguiremos actualizando los artículos.

Que puedes hacer para protegerte?

El error se considera muy crítico. Es importante que todas las personas que ejecutan un sistema operativo vulnerable apliquen la actualización de seguridad proporcionada por Microsoft.

Las grandes organizaciones que siguen ciclos de parches de 15/30/60 días deberían considerar hacer una excepción y aplicar los parches lo antes posible.

Los parches de seguridad de Microsoft están disponibles. aquí. El evento es lo suficientemente grave como para que la NSA haya lanzado su propio aviso de seguridad, con información de mitigación y cómo detectar la explotación, e instando al individual de TI a acelerar la instalación de Actualizaciones de seguridad de Microsoft. los Agencia de Seguridad Cibernética e Infraestructura (CISA) en el Departamento de Seguridad Nacional (DHS) también han lanzado una directiva de emergencia alertar al sector privado de EE. UU. y a las entidades gubernamentales sobre la necesidad de instalar las últimas correcciones del sistema operativo Windows lo antes posible.

¿Cómo se protege a los clientes de McAfee?

Los productos de McAfee pueden ayudar a detectar y evitar que el exploit se ejecute en sus sistemas. Específicamente:

McAfee Endpoint Protection (ENS)

McAfee puede ayudar a proteger contra esta vulnerabilidad con un conjunto de firmas para ayudar a detectar archivos firmados fraudulentamente.

Menace Intelligence Exchange (TIE) y McAfee Sophisticated Threat Detection (ATD)

TIE puede ayudar a identificar el abuso de la firma de archivos antes de aplicar parches al proporcionar un flujo de trabajo para pasar a CA falsificadas y sus archivos binarios firmados ya se ejecutan en el entorno. Si McAfee ATD está integrado, los binarios firmados fraudulentos se enviarán para su detonación, donde se puede importar una regla de Yara personalizada para detectarlos.

McAfee Network Stability System (IPS)

Las firmas NSP (conjunto de firmas de emergencia versión 10.8.3.3) evitarán el abuso de la firma de archivos al bloquear las conexiones que utilizan certificados que se sabe que están afectados por la vulnerabilidad.

Pasarela website

La inspección de archivos para la firma se ha implementado en World-wide-web Gateway Anti-Malware. El uso de la exploración HTTP en la Pasarela world wide web moverá las comprobaciones de validez de los certificados desde los puntos finales a la pasarela y proporcionará una política central de certificados HTTPS que no se basa en la función susceptible.

McAfee MVISION EDR

MVISION EDR puede detectar intentos de explotación para esta vulnerabilidad en sistemas parcheados. Para identificar los dispositivos que han estado involucrados recientemente en un intento de explotación, el cliente puede usar el panel de búsqueda en tiempo true para ejecutar una consulta usando un Colector NSACryptEvents.

McAfee Energetic Response (MAR)

McAfee Lively Reaction tiene la capacidad de detectar intentos de explotación para esta vulnerabilidad. Para identificar los dispositivos que han estado involucrados recientemente en un intento de explotación, el cliente puede usar Active Response Catalog para crear un recopilador personalizado y Active Reaction Lookup para ejecutar una consulta utilizando ese recopilador. Los usuarios de McAfee Energetic Reaction (MAR) también pueden hacer una consulta en tiempo true con el recopilador NSACryptEvents.

McAfee Enterprise Security Supervisor (SIEM)

McAfee Organization Stability Supervisor puede detectar intentos de explotación para esta vulnerabilidad en sistemas parcheados mediante la detección de eventos enrutados a SIEM utilizando nuevas firmas disponibles a través del proceso ordinary de actualización de contenido. (Referirse a artículo de base de conocimiento que describe cómo actualizar las reglas de EMS).

Se han cargado nuevas reglas en el servidor de contenido con nuevas identificaciones de firma y descripciones para estos eventos. Los clientes pueden usarlos para crear alarmas.

Los detalles completos sobre cómo acceder a estas soluciones se describen en el artículo de la foundation de conocimiento KB92322. Los productos adicionales pueden actualizarse con contramedidas y defensas adicionales a medida que nuestra investigación descubra más. Continuaremos actualizando el artículo de la base de conocimiento KB92322 con cualquier recomendación adicional o hallazgos.





Enlace a la noticia primary