Microsoft pospuso la reparación del día cero durante 2 años – Krebs on Stability


Una falla de seguridad en el camino Microsoft Windows protege a los usuarios contra archivos maliciosos fue explotado activamente en ataques de malware durante dos años antes de la semana pasada, cuando Microsoft finalmente emitió una actualización de software package para corregir el problema.

Uno de los 120 agujeros de seguridad que Microsoft solucionó el martes de parches del 11 de agosto fue CVE-2020-1464, un problema con la forma en que todas las versiones compatibles de Home windows validan las firmas digitales para programas informáticos.

Firma de código es el método de utilizar una firma digital basada en certificados para firmar archivos ejecutables y scripts con el fin de verificar la identidad del autor y garantizar que el código no haya sido modificado o dañado desde que fue firmado por el autor.

Microsoft dijo que un atacante podría usar esta «vulnerabilidad de suplantación» para eludir las funciones de seguridad destinadas a evitar que se carguen archivos firmados incorrectamente. El aviso de Microsoft no menciona que los investigadores de seguridad le hayan informado a la compañía sobre la falla, que Microsoft reconoció que estaba siendo explotada activamente.

De hecho, CVE-2020-1464 se detectó por primera vez en ataques utilizados en forma salvaje en agosto de 2018. Y varios investigadores informaron a Microsoft sobre la debilidad en los últimos 18 meses.

Bernardo Quintero es el gerente en VirusTotal, un servicio propiedad de Google que analiza los archivos enviados contra decenas de servicios antivirus y muestra los resultados. El 15 de enero de 2019, Quintero publicó una publicación de weblog describiendo cómo Home windows mantiene la firma Authenticode válida después de agregar cualquier contenido al last de los archivos de Home windows Installer (aquellos que terminan en .MSI) firmados por cualquier desarrollador de software program.

Quintero dijo que esta debilidad sería particularmente aguda si un atacante la usara para ocultar un Java archivo (.jar). Y, dijo, este vector de ataque exacto se detectó en una muestra de malware enviada a VirusTotal.

“En resumen, un atacante puede agregar un JAR malicioso a un archivo MSI firmado por un desarrollador de software confiable (como Microsoft Company, Google Inc. o cualquier otro desarrollador conocido), y el archivo resultante puede cambiarse de nombre con la extensión .jar y tendrá una firma válida según Microsoft Home windows ”, escribió Quintero.

Pero según Quintero, mientras que el equipo de seguridad de Microsoft validó sus hallazgos, la compañía decidió no abordar el problema en ese momento.

«Microsoft ha decidido que no solucionará este problema en las versiones actuales de Windows y acordó que podemos publicar en un website sobre este caso y nuestros hallazgos», concluyó su publicación en el blog.

Tal Be’ery, fundador de Zengoy Peleg Hadar, investigador senior de seguridad en Laboratorios SafeBreach, escrito una publicación de web site el domingo que apuntaba a un archivo subido a VirusTotal en agosto de 2018 que abusaba de la debilidad de suplantación de identidad, que se ha denominado Bola de pegamento. La última vez que se escaneó ese archivo de agosto de 2018 en VirusTotal (14 de agosto de 2020), fue detectado como un troyano Java malicioso por 28 de 59 programas antivirus.

Más recientemente, otros también llamarían la atención sobre el malware que abusó de la debilidad de seguridad, incluyendo esta publicación en junio de 2020 desde el Seguridad en bits Weblog.

Imagen: Securityinbits.com

Be’ery dijo que la forma en que Microsoft ha manejado el informe de vulnerabilidad parece bastante extraña.

“Estaba muy claro para todos los involucrados, incluido Microsoft, que GlueBall es de hecho una vulnerabilidad válida explotada en la naturaleza”, escribió. «Por lo tanto, no está claro por qué solo se reparó ahora y no hace dos años».

Cuando se le pidió que comentara por qué esperó dos años para reparar una falla que se estaba explotando activamente para comprometer la seguridad de las computadoras con Windows, Microsoft eludió la pregunta y dijo que los usuarios de Windows que han aplicado las últimas actualizaciones de seguridad están protegidos de este ataque.

«Se lanzó una actualización de seguridad en agosto», dijo Microsoft en una declaración escrita enviada a KrebsOnSecurity. “Los clientes que apliquen la actualización o que tengan habilitadas las actualizaciones automáticas estarán protegidos. Seguimos alentando a los clientes a activar las actualizaciones automáticas para ayudar a garantizar que estén protegidos «.

Actualización, 12:45 a.m. ET: Atribución corregida en el artículo del web site de junio de 2020 sobre las vulnerabilidades de GlueBall en la naturaleza.


Etiquetas: Bernardo Quintero, CVE-2020-1464, GlueBall, Peleg Hadar, SafeBreach Labs, Securityinbits.com, Tal Be&#39ery, Zengo

Esta entrada se publicó el lunes 17 de agosto de 2020 a las 12:05 a.m. y está archivada en Un poco de sol, hora de parchear.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial