Las defensas de McAfee contra la vulnerabilidad de CryptoAPI de Microsoft


Microsoft hizo noticia esta semana con la vulnerabilidad ampliamente conocida conocida como CVE-2020-0601, que afecta a Windows CryptoAPI. Esta vulnerabilidad altamente crítica permite a un atacante falsificar firmas y certificados digitales. El atacante usaría certificados de criptografía de curva elíptica (ECC) falsificados para firmar archivos maliciosos para evadir la detección o apuntar a nombres de host específicos para evadir alertas de seguridad del navegador al hacer que parezca que el archivo proviene de una fuente legítima y confiable. El usuario no tendría forma de saber que el archivo era malicioso, porque la firma digital parecería ser de un proveedor confiable. Una explotación exitosa también podría permitir al atacante realizar ataques de intermediarios y descifrar información confidencial sobre las conexiones de los usuarios con el software afectado.

Según los informes, la vulnerabilidad CVE-2020-0601 afecta a las versiones del sistema operativo Home windows 10, Home windows Server 2019 y Windows Server 2016. El parche de Microsoft (a continuación) corrige la vulnerabilidad al garantizar que Home windows CryptoAPI valida por completo los certificados ECC.

Desde que se identificó, se publicó un POC de exploit público que permitirá a cualquier parte maliciosa usar este exploit para firmar ejecutables como un tercero. Además, el error podría interceptar y falsificar conexiones internet seguras (HTTPS) y tiene el poder de falsificar firmas para archivos y correos electrónicos.

Los detalles sobre las defensas empresariales de McAfee contra esta vulnerabilidad se detallan a continuación y están disponibles en el artículo de la foundation de conocimiento KB92322. Los productos adicionales pueden actualizarse con contramedidas y defensas adicionales a medida que nuestra investigación descubra más. Seguiremos actualizando los artículos.

Que puedes hacer para protegerte?

El mistake se considera muy crítico. Es importante que todas las personas que ejecutan un sistema operativo susceptible apliquen la actualización de seguridad proporcionada por Microsoft.

Las grandes organizaciones que siguen ciclos de parches de 15/30/60 días deberían considerar hacer una excepción y aplicar los parches lo antes posible.

Los parches de seguridad de Microsoft están disponibles. aquí. El evento es lo suficientemente grave como para que la NSA haya lanzado su propio aviso de seguridad, con información de mitigación y cómo detectar la explotación, e instando al personalized de TI a acelerar la instalación de Actualizaciones de seguridad de Microsoft. los Agencia de Seguridad Cibernética e Infraestructura (CISA) en el Departamento de Seguridad Nacional (DHS) también han lanzado una directiva de emergencia alertar al sector privado de los EE. UU. y a las entidades gubernamentales sobre la necesidad de instalar las últimas correcciones del sistema operativo Windows lo antes posible.

¿Cómo se protegen los clientes de McAfee?

Los productos de McAfee pueden ayudar a detectar y evitar que el exploit se ejecute en sus sistemas. Específicamente:

McAfee Endpoint Safety (ENS)

McAfee puede ayudar a proteger contra esta vulnerabilidad con un conjunto de firmas para ayudar a detectar archivos firmados fraudulentamente.

Intercambio de inteligencia de amenazas (TIE)

TIE puede ayudar a identificar el abuso de la firma de archivos antes de aplicar parches al proporcionar un flujo de trabajo para pasar a CA falsificadas y sus archivos binarios firmados ya se ejecutan en el entorno.

McAfee Community Stability Platform (IPS)

Las firmas NSP (conjunto de firmas de emergencia versión 10.8.3.3) evitarán el abuso de la firma de archivos al bloquear las conexiones que utilizan certificados que se sabe que están afectados por la vulnerabilidad.

Pasarela website

La inspección de archivos para la firma se ha implementado en Net Gateway Anti-Malware. El uso de la exploración HTTP en la Pasarela world-wide-web moverá las comprobaciones de validez de los certificados desde los puntos finales a la pasarela y proporcionará una política central de certificados HTTPS que no se basa en la función vulnerable.

McAfee MVISION EDR

MVISION EDR puede detectar intentos de explotación para esta vulnerabilidad en sistemas parcheados. Para identificar los dispositivos que han estado involucrados recientemente en un intento de explotación, el cliente puede usar el panel de búsqueda en tiempo serious para ejecutar una consulta usando un Colector NSACryptEvents.

McAfee Active Response (MAR)

McAfee Active Response tiene la capacidad de detectar intentos de explotación para esta vulnerabilidad. Para identificar los dispositivos que han estado involucrados recientemente en un intento de explotación, el cliente puede usar Active Reaction Catalog para crear un recopilador personalizado y Active Response Search para ejecutar una consulta utilizando ese recopilador. Los usuarios de McAfee Lively Response (MAR) también pueden hacer una consulta en tiempo real con el recopilador NSACryptEvents.

McAfee Business Protection Manager (SIEM)

McAfee Business Stability Manager puede detectar intentos de explotación para esta vulnerabilidad en sistemas parcheados detectando eventos enrutados a SIEM utilizando nuevas firmas disponibles a través del proceso standard de actualización de contenido. (Referirse a artículo de base de conocimiento que describe cómo actualizar las reglas de EMS).

Se han cargado nuevas reglas en el servidor de contenido con nuevas identificaciones de firma y descripciones para estos eventos. Los clientes pueden usarlos para crear alarmas.

Los detalles completos sobre cómo acceder a estas soluciones se describen en el artículo de la base de conocimiento KB92322. Los productos adicionales pueden actualizarse con contramedidas y defensas adicionales a medida que nuestra investigación descubra más. Continuaremos actualizando el artículo de foundation de conocimiento KB92322 con cualquier recomendación adicional o hallazgos.





Enlace a la noticia authentic