Resalta en medio de varios parches lanzados por Microsoft esta semana una actualización que corrige una falla grave en el componente criptográfico central de las ediciones ampliamente utilizadas de Windows 10, Server 2016 y 2019 que fue descubierta e informada a la compañía por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos.
Lo que es más interesante es que esta es la primera falla de seguridad en el sistema operativo Windows que la NSA informó responsablemente a Microsoft, a diferencia de la falla Eternalblue SMB que la agencia mantuvo en secreto durante al menos cinco años y que luego fue filtrada al público por un grupo de hackers, lo que causó la amenaza de WannaCry en 2017.
Según un aviso publicado por Microsoft, la falla, denominada ' NSACrypt ' y rastreada como CVE-2020-0601 , reside en el módulo Crypt32.dll que contiene varias 'Funciones de certificado y mensajería criptográfica' utilizadas por la API de Windows Crypto para manejar el cifrado y descifrado de datos.
El problema reside en la forma en que el módulo Crypt32.dll valida los certificados de criptografía de curva elíptica (ECC) que actualmente es el estándar de la industria para la criptografía de clave pública y se utiliza en la mayoría de los certificados SSL / TLS.
En un comunicado de prensa publicado por la NSA, la agencia explica que "la vulnerabilidad de validación de certificados permite a un atacante socavar cómo Windows verifica la confianza criptográfica y puede permitir la ejecución remota de código".
La explotación de la vulnerabilidad permite a los atacantes abusar de la validación de confianza entre:
- Conexiones HTTPS
- Archivos firmados y correos electrónicos
- Código ejecutable firmado lanzado como procesos en modo de usuario
Aunque los detalles técnicos de la falla aún no están disponibles al público, Microsoft confirma que la falla, que si se explota con éxito, podría permitir a los atacantes falsificar firmas digitales en el software, engañando al sistema operativo para que instale software malicioso mientras se hace pasar por la identidad de cualquier software legítimo. —Sin conocimiento de los usuarios.
"Existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC)", dice el aviso de Microsoft.
"Un atacante podría explotar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima. El usuario no tendría forma de saber que el archivo es malicioso porque la firma digital parecería ser de un proveedor de confianza ".
Además de esto, la falla en CryptoAPI también podría facilitar a los atacantes remotos intermedios hacerse pasar por sitios web o descifrar información confidencial sobre las conexiones de los usuarios con el software afectado.
"Esta vulnerabilidad se clasifica como Importante y no la hemos visto utilizada en ataques activos", dijo Microsoft en una publicación de blog separada .
"Esta vulnerabilidad es un ejemplo de nuestra asociación con la comunidad de investigación de seguridad en la que se divulgó una vulnerabilidad de forma privada y se lanzó una actualización para garantizar que los clientes no estuvieran en riesgo".
"Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Las herramientas de explotación remota probablemente estarán disponibles de forma rápida y generalizada", dijo la NSA.
Además de la vulnerabilidad de suplantación de identidad de Windows CryptoAPI que ha sido calificada como 'importante' en cuanto a severidad, Microsoft también ha parcheado otras 48 vulnerabilidades, 8 de las cuales son críticas y el resto son 40 importantes.
No hay mitigación o solución disponible para esta vulnerabilidad, por lo que se recomienda encarecidamente instalar las últimas actualizaciones de software dirigiéndose a Configuración de Windows → Actualización y seguridad → Actualización de Windows → haciendo clic en 'Buscar actualizaciones en su PC'.
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
