Lanza Microsoft el primer parche con la divulgación de CVE-2020-0601, falla crítica en la biblioteca criptográfica para Windows 10

Antecedentes

El 14 de enero Microsoft lanzó su primer parche, que contiene una actualización para una vulnerabilidad crítica en la biblioteca criptográfica utilizada en las versiones más recientes de Windows, incluidos Windows 10 y Windows Server 2016/2019. CVE-2020-0601 fue revelado al desarrollador por la Agencia de Seguridad Nacional (NSA) a través del proceso de Divulgación de Vulnerabilidad Coordinada de Microsoft.

La especulación generalizada sobre una vulnerabilidad grave en Microsoft Windows comenzó a circular el 13 de enero cuando Will Dormann, analista senior de vulnerabilidad del Centro de Coordinación CERT (CERT/CC), insinuó en un tweet que las personas deberían «prestar mucha atención» a las actualizaciones en Parche de enero de 2020 de Microsoft el martes.

Poco después, el periodista Brian Krebs tuiteó una advertencia sobre «una falla extraordinariamente aterradora en todas las versiones de Windows», mencionando específicamente que la falla estaba en un componente criptográfico central.

Krebs luego lanzó una publicación de blog con detalles adicionales sobre el evento. Según él, la falla existía en crypt32.dll, la interfaz de programación de aplicaciones criptográficas de Microsoft (CryptoAPI) utilizada para las funciones de certificado y mensajería criptográfica. La publicación también indica que las sucursales del ejército de los EE.UU. y otros clientes de alto valor recibieron notificaciones y parches por adelantado de Microsoft en virtud de acuerdos de confidencialidad (NDA).

Ese mismo día, Krebs tuiteó más información después de una llamada de los medios con la directora de ciberseguridad de la NSA, Anne Neuberger. Según los tweets, la vulnerabilidad criptográfica crítica fue descubierta por la NSA e informada a Microsoft. El tweet explica que la vulnerabilidad existe en Windows 10 y Windows Server 2016 y la falla «hace que la confianza sea vulnerable».

Análisis

CVE-2020-0601 es una vulnerabilidad de suplantación de identidad en crypt32.dll, un módulo criptográfico central en Microsoft Windows responsable de implementar las funciones de certificado y mensajería criptográfica en CryptoAPI del desarrollador.

Según la NSA, (acreditado con el descubrimiento de esta vulnerabilidad), la explotación exitosa de esta vulnerabilidad permitiría a los atacantes entregar código malicioso que parece ser de una entidad confiable. El análisis señala algunos ejemplos de dónde se vería afectada la validación de la confianza:

  • Conexiones HTTP
  • Archivos firmados y correos electrónicos
  • Código ejecutable firmado lanzado como procesos en modo de usuario

Dado que, según los informes, CVE-2020-0601 omite la capacidad de Windows para verificar la confianza criptográfica, un atacante podría pasar las aplicaciones maliciosas como código legítimo y confiable, poniendo en riesgo los hosts de Windows.

Un atacante necesitaría comprometer un sistema de otra manera para implementar malware que explote tal vulnerabilidad. Probablemente usarían tácticas de phishing comunes para engañar a un usuario confiable para que interactúe con una aplicación maliciosa o usar un ataque man-in-the-middle a través de otro dispositivo comprometido en el entorno para falsificar una actualización interceptada y reemplazarla con malware.

Prueba de concepto

Desde el momento en que se publicó esa información en el blog, no se ha publicado ninguna prueba de concepto para esta vulnerabilidad.

Respuesta del vendedor

Microsoft ha declarado que hasta ahora no ha visto una explotación activa de esta vulnerabilidad. Sin embargo, ésta está etiquetada como ‘Explotación más probable’ en el Aviso de seguridad de Microsoft .

Solución

La compañía ha publicado actualizaciones de software para abordar CVE-2020-0601. Si no es posible parchear la vulnerabilidad en toda la empresa, la NSA ha aconsejado «priorizar los sistemas de parcheo que realizan la validación de seguridad de la capa de transporte o albergar infraestructura crítica como controladores de dominio, servidores del sistema de nombres de dominio, servidores de red privada virtual, etc.»

Por su parte, Tenable sugiere parchear puntos finales expuestos directamente a Internet o sistemas utilizados regularmente por usuarios privilegiados.

Los usuarios pueden crear análisis que se centren específicamente en esta vulnerabilidad. Desde un nuevo escaneo avanzado, en la pestaña de complementos, establecer un filtro avanzado para CVE es igual a CVE-2020-0601.

Identificando los sistemas afectados

Algunos de los complementos de Tenable están disponibles para identificar CVE-2020-0601.

Share via
Copy link
Powered by Social Snap