Actualice Windows 10 de inmediato para reparar una falla descubierta por la NSA

Vulnerabilidad de falsificación de CryptoAPI de Windows 10

Después de que Adobe lanzara hoy sus primeras actualizaciones de Patch Tuesday para 2020, Microsoft también ha publicado sus avisos de seguridad de enero advirtiendo a miles de millones de usuarios de 49 nuevas vulnerabilidades en sus diversos productos.

Lo que tiene de especial el último martes de parches es que una de las actualizaciones corrige una falla grave en el componente criptográfico central de las ediciones de Windows 10, Server 2016 y 2019 ampliamente utilizadas que fue descubierta e informada a la empresa por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos.

Lo que es más interesante es que esta es la primera falla de seguridad en el sistema operativo Windows que la NSA informó responsablemente a Microsoft, a diferencia de la falla Eternalblue SMB que la agencia mantuvo en secreto durante al menos cinco años y luego se filtró al público por un grupo misterioso, que causado por la amenaza WannaCry en 2017.

CVE-2020-0601: Vulnerabilidad de falsificación de CryptoAPI de Windows

Según un aviso publicado por Microsoft, la falla, denominada ‘NSACrypt‘y rastreado como CVE-2020-0601, reside en el Crypt32.dll módulo que contiene varias ‘funciones de mensajería criptográfica y de certificados’ utilizadas por Windows Crypto API para manejar el cifrado y descifrado de datos.

El problema reside en la forma en que el módulo Crypt32.dll valida los certificados de criptografía de curva elíptica (ECC), que actualmente es el estándar de la industria para la criptografía de clave pública y se utiliza en la mayoría de los certificados SSL/TLS.

En un comunicado de prensa publicado por la NSA, la agencia explica que «la vulnerabilidad de validación de certificados permite que un atacante socave la forma en que Windows verifica la confianza criptográfica y puede permitir la ejecución remota de código».

La explotación de la vulnerabilidad permite a los atacantes abusar de la validación de la confianza entre:

  • Conexiones HTTPS
  • Archivos y correos electrónicos firmados
  • Código ejecutable firmado lanzado como procesos en modo usuario

Aunque los detalles técnicos de la falla aún no están disponibles para el público, Microsoft confirma la falla, que si se explota con éxito, podría permitir a los atacantes falsificar firmas digitales en el software, engañando al sistema operativo para que instale software malicioso mientras se hace pasar por la identidad de cualquier software legítimo. —Sin el conocimiento de los usuarios.

«Existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC)», dice el aviso de Microsoft.

«Un atacante podría explotar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente legítima y confiable. El usuario no tendría forma de saber que el archivo era malicioso porque la firma digital parecería ser de un proveedor de confianza».

Además de esto, la falla en CryptoAPI también podría facilitar que los atacantes intermediarios remotos se hagan pasar por sitios web o descifren información confidencial sobre las conexiones de los usuarios al software afectado.

«Esta vulnerabilidad se clasifica como importante y no la hemos visto utilizada en ataques activos», dijo Microsoft en una publicación de blog separada.

«Esta vulnerabilidad es un ejemplo de nuestra asociación con la comunidad de investigación de seguridad, donde se reveló una vulnerabilidad de forma privada y se lanzó una actualización para garantizar que los clientes no se pusieran en riesgo».

«Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Es probable que las herramientas de explotación remota estén disponibles rápida y ampliamente», dijo la NSA.

Además de la vulnerabilidad de falsificación de Windows CryptoAPI que ha sido calificada como ‘importante’ en cuanto a su gravedad, Microsoft también ha parcheado otras 48 vulnerabilidades, 8 de las cuales son críticas y las 40 restantes son importantes.

No hay mitigación o solución disponible para esta vulnerabilidad, por lo que se recomienda encarecidamente que instale las últimas actualizaciones de software dirigiéndose a Configuración de Windows → Actualización y seguridad → Actualización de Windows → haciendo clic en «Buscar actualizaciones en su PC».

Otras fallas críticas de RCE en Windows

Dos de los problemas críticos afectan a Windows Remote Desktop Gateway (RD Gateway), rastreados como CVE-2020-0609 y CVE-2020-0610, que pueden ser explotados por atacantes no autenticados para ejecutar código malicioso en sistemas específicos con solo enviar una solicitud especialmente diseñada. a través de RDP.

«Esta vulnerabilidad es una autenticación previa y no requiere la interacción del usuario. Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario en el sistema de destino», dice el aviso.

Un problema crítico en Remote Desktop Client, rastreado como CVE-2020-0611, podría provocar un ataque RDP inverso donde un servidor malicioso puede ejecutar código arbitrario en la computadora del cliente que se conecta.

«Para explotar esta vulnerabilidad, un atacante necesitaría tener el control de un servidor y luego convencer a un usuario para que se conecte a él», dice el aviso.

«Un atacante también podría comprometer un servidor legítimo, alojar código malicioso en él y esperar a que el usuario se conecte».

Afortunadamente, ninguna de las fallas que Microsoft abordó este mes se reveló públicamente ni se descubrió que se estaba explotando en la naturaleza.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática