Lo que es tan especial sobre el último Patch Tuesday es que una de las actualizaciones corrige una falla grave en el componente criptográfico central de las ediciones ampliamente utilizadas de Windows 10, Server 2016 y 2019 que fue descubierta e informada a la compañía por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos.
Lo que es más interesante es que esta es la primera falla de seguridad en el sistema operativo Windows que la NSA informó responsablemente a Microsoft, a diferencia de la falla Eternalblue SMBque la agencia mantuvo en secreto durante al menos cinco años y luego fue filtrada al público por un grupo misterioso, lo que causó la amenaza de WannaCry en 2017.
CVE-2020-0601: Vulnerabilidad de suplantación de identidad de Windows CryptoAPI
Según un aviso publicado por Microsoft, la falla, denominada ‘ NSACrypt ‘ y rastreada como CVE-2020-0601 , reside en el módulo Crypt32.dll que contiene varias ‘Funciones de certificado y mensajería criptográfica’ utilizadas por la API de Windows Crypto para manejar el cifrado y descifrado de datos.
El problema reside en la forma en que el módulo Crypt32.dll valida los certificados de criptografía de curva elíptica (ECC) que actualmente es el estándar de la industria para la criptografía de clave pública y se utiliza en la mayoría de los certificados SSL / TLS.
En un comunicado de prensa publicado por la NSA, la agencia explica que «la vulnerabilidad de validación de certificados permite a un atacante socavar cómo Windows verifica la confianza criptográfica y puede permitir la ejecución remota de código».
La explotación de la vulnerabilidad permite a los atacantes abusar de la validación de confianza entre:
- Conexiones HTTPS
- Archivos firmados y correos electrónicos
- Código ejecutable firmado lanzado como procesos en modo de usuario
Aunque los detalles técnicos de la falla aún no están disponibles al público, Microsoft confirma que la falla, que si se explota con éxito, podría permitir a los atacantes falsificar firmas digitales en el software, engañando al sistema operativo para que instale software malicioso mientras se hace pasar por la identidad de cualquier software legítimo. —Sin conocimiento de los usuarios.
«Existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC)», dice el aviso de Microsoft.
«Un atacante podría explotar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima. El usuario no tendría forma de saber que el archivo es malicioso porque la firma digital parecería ser de un proveedor de confianza «.
Además de esto, la falla en CryptoAPI también podría facilitar a los atacantes remotos intermedios hacerse pasar por sitios web o descifrar información confidencial sobre las conexiones de los usuarios con el software afectado.
«Esta vulnerabilidad se clasifica como Importante y no la hemos visto utilizada en ataques activos», dijo Microsoft en una publicación de blog separada .
«Esta vulnerabilidad es un ejemplo de nuestra asociación con la comunidad de investigación de seguridad en la que se divulgó una vulnerabilidad de forma privada y se lanzó una actualización para garantizar que los clientes no estuvieran en riesgo».
«Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Las herramientas de explotación remota probablemente estarán disponibles de forma rápida y generalizada», dijo la NSA.
Además de la vulnerabilidad de suplantación de identidad de Windows CryptoAPI que ha sido calificada como ‘importante’ en cuanto a severidad, Microsoft también ha parcheado otras 48 vulnerabilidades, 8 de las cuales son críticas y el resto son importantes.
No hay mitigación o solución disponible para esta vulnerabilidad, por lo que se recomienda encarecidamente instalar las últimas actualizaciones de software dirigiéndose a Configuración de Windows → Actualización y seguridad → Actualización de Windows → haciendo clic en ‘Buscar actualizaciones en su PC’.
Otros defectos críticos de RCE en Windows
Dos de los problemas críticos afectan a Windows Remote Desktop Gateway (RD Gateway), rastreado como CVE-2020-0609 y CVE-2020-0610 , que pueden ser explotados por atacantes no autenticados para ejecutar código malicioso en sistemas específicos simplemente enviando una solicitud especialmente diseñada a través de RDP.
«Esta vulnerabilidad es una autenticación previa y no requiere la interacción del usuario. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en el sistema de destino», dice el aviso.
Un problema crítico en Remote Desktop Client, seguido como CVE-2020-0611 , podría conducir a un ataque RDP inverso donde un servidor malicioso puede ejecutar código arbitrario en la computadora del cliente que se conecta.
«Para explotar esta vulnerabilidad, un atacante necesitaría tener el control de un servidor y luego convencer a un usuario para que se conecte a él», dice el aviso.
«Un atacante también podría comprometer un servidor legítimo, alojar código malicioso en él y esperar a que el usuario se conecte».
Afortunadamente, ninguno de los defectos abordados este mes por Microsoft fueron revelados públicamente o descubiertos como explotados en la naturaleza.
Fuente: thehackernews.com