La NSA descubre una vulnerabilidad crítica en Windows 10 – ¡Debes actualizar ya!
Microsoft publicó sus primeros avisos de seguridad de enero advirtiendo a miles de millones de usuarios. Se les ha notificado de 49 nuevas vulnerabilidades en sus diversos productos.
Una de estas actualizaciones corrige una grave vulnerabilidad en el componente criptográfico central de ediciones ampliamente utilizadas. Entre los afectados están Windows 10, Windows Server 2016 y 2019. Dicha vulnerabilidad fue descubierta e informada por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos.
Lo que es más interesante es que esta es la primera falla de seguridad en el sistema operativo Windows que la NSA informó responsablemente a Microsoft.
En el pasado la agencia descubrió la vulnerabilidad Eternalblue SMB y la agencia la mantuvo en secreto durante al menos cinco años. Esta luego fue filtrada al público por un grupo misterioso, lo que causó la amenaza de WannaCry en 2017.
CVE-2020-0601: Vulnerabilidad de suplantación de identidad de CryptoAPI Windows
Según un aviso publicado por Microsoft, la vulnerabilidad, denominada ‘NSACrypt’ e identificada como CVE-2020-0601, reside en el módulo Crypt32.dll. Este módulo contiene varias ‘Funciones de certificado y mensajería criptográfica’ utilizadas por la Crypto API de Windows para administrar el cifrado y descifrado de datos.
El problema reside en la forma en que el módulo Crypt32.dll valida los certificados de criptografía de curva elíptica (ECC). Este es actualmente el estándar de la industria para la criptografía de clave pública y se utiliza en la mayoría de los certificados SSL/TLS.
La agencia explica que “la vulnerabilidad de validación de certificados permite a un atacante socavar cómo Windows verifica la confianza criptográfica. Esto puede permitir la ejecución remota de código”.
La explotación de la vulnerabilidad permite a los atacantes abusar de la validación de confianza entre:
- Conexiones HTTPS
- Archivos firmados y correos electrónicos
- Código ejecutable firmado lanzado como procesos en modo de usuario
Los detalles técnicos de la falla aún no están disponibles al público. Microsoft confirma que la falla, que, si se explota con éxito, podría permitir a los atacantes falsificar firmas digitales en el software, engañando al sistema operativo. Si logran lo anterior pueden instalar software malicioso mientras se hacen pasar por la identidad de cualquier software legítimo. Sin conocimiento de los usuarios.
CryptoAP
“Existe una vulnerabilidad de suplantación de identidad en la forma en que la CryptoAPI Windows (Crypt32.dll) valida los certificados de ECC”, afirma el comunicado.
“Un atacante podría explotar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso. Este puede hacer que parezca que el archivo proviene de una fuente confiable y legítima. El usuario no tendría forma de saber que el archivo es malicioso porque la firma digital parecería ser de un proveedor de confianza”.
Además de esto, la vulnerabilidad en CryptoAPI también podría facilitar a los atacantes remotos intermedios hacerse pasar por sitios web. Incluso podrían descifrar información confidencial sobre las conexiones de los usuarios con el software afectado.
“Esta vulnerabilidad se clasifica como Importante y no la hemos visto utilizada en ataques activos”, según Microsoft.
“Esta vulnerabilidad es un ejemplo de nuestra asociación con la comunidad de investigación de seguridad en la que se divulgó una vulnerabilidad de forma privada. Asimismo, ya se lanzó una actualización para garantizar que los clientes no estuvieran en riesgo”.
“Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Las herramientas de explotación remota probablemente estarán disponibles de forma rápida y generalizada”, dijo la NSA.
La vulnerabilidad de suplantación de identidad de la CryptoAPI Windows ha sido calificada como ‘importante’ en cuanto a severidad. También ha parcheado otras 48 vulnerabilidades, 8 de las cuales son críticas y el resto de las 40 son importantes.
No hay mitigación o solución disponible para esta vulnerabilidad, por lo que te recomendamos encarecidamente instalar las últimas actualizaciones de software. Para hacerlo debes dirigirte a Configuración de Windows → Actualización y seguridad → Actualización de Windows → haz clic en ‘Buscar actualizaciones en tu PC’.
Otras vulnerabilidades críticas RCE en Windows
Dos de las vulnerabilidades críticas afectan a Windows Remote Desktop Gateway (RD Gateway), han sido identificadas como CVE-2020-0609 y CVE-2020-0610. Estos pueden ser explotados por atacantes no autenticados para ejecutar código malicioso en sistemas específicos. Lo pueden lograr simplemente enviando una solicitud especialmente diseñada a través de RDP.
“Esta vulnerabilidad es una autenticación previa y no requiere la interacción del usuario. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en el sistema de destino”.
Un problema crítico en Remote Desktop Client también fue descubierto, ha sido identificado como CVE-2020-0611. Este podría conducir a un ataque RDP inverso donde un servidor malicioso puede ejecutar código arbitrario en la computadora del cliente que se conecta.
“Para explotar esta vulnerabilidad, un atacante necesitaría tener el control de un servidor y luego convencer a un usuario para que se conecte a él”.
“Un atacante también podría comprometer un servidor legítimo, alojar código malicioso en él y esperar a que el usuario se conecte”.
Afortunadamente, ninguna de las vulnerabilidades abordadas este mes por Microsoft fueron reveladas públicamente o descubiertas como exploits en la naturaleza.