Alerta crítica de Windows 10 ‘Actualizar ahora’ 2020

El gobierno de los Estados Unidos emite una alerta crítica de Windows 10 ‘Actualizar ahora’

Alerta crítica de Windows 10: Cuando el director técnico de la Dirección de Ciberseguridad de la Agencia de Seguridad Nacional de EE. UU. (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional, ambos instan a los usuarios de Windows 10 a tomar medidas y actualizarse lo antes posible, puede sospechar que Algo grave ha sucedido. Estarías en lo correcto.

Como predije en un artículo llamado «Nueva advertencia de seguridad de Windows 10 ‘extraordinariamente grave’ para 900 millones de usuarios», publicada ayer por la mañana, la actualización mensual de Patch Tuesday de Microsoft reveló una vulnerabilidad particularmente preocupante en Windows 10.

Incluso antes de que Microsoft revelara los detalles de CVE-2020-0601, una vulnerabilidad de suplantación de Windows CryptoAPI, la NSA había confirmado la importancia tanto de la falla como de la solución. Anne Neuberger, directora de la Dirección de Ciberseguridad de la NSA, advirtió que el problema «hace que la confianza sea vulnerable».

De hecho, fue la propia NSA la que descubrió la vulnerabilidad y la informó a Microsoft. Esta es, confirmó Neuberger, la primera vez que la NSA había revelado públicamente una vulnerabilidad a un proveedor de software.

Ahora, otra agencia del gobierno de EE. UU. Abordó el autobús de batalla de advertencia de vulnerabilidad e instó a los usuarios de Windows 10 a aplicar las actualizaciones del martes de parches lo antes posible. CISA, a través del Sistema Nacional de Concienciación Cibernética, ha publicado una alerta titulada » Vulnerabilidades críticas en los sistemas operativos Microsoft Windows«. Esto llama a la vulnerabilidad de Windows CryptoAPI una «debilidad crítica» y advierte que un atacante podría explotar de forma remota esta y otras vulnerabilidades solucionadas por la actualización Patch Tuesday para «descifrar, modificar o inyectar datos en las conexiones de los usuarios«.

Alerta crítica de Windows 10 ¿Qué es CVE-2020-0601?

La vulnerabilidad afecta a todos los sistemas que ejecutan Windows 10 en versiones de 32 o 64 bits.

La alerta CISA explica que permite la validación del certificado de criptografía de curva elíptica (ECC) para evitar el almacén de confianza. En otras palabras, esto significa que el software malicioso podría enmascararse como software legítimo que ha sido autenticado y firmado por una fuente confiable; La detección de malware podría verse afectada negativamente como resultado. Además, los navegadores que dependen de Windows CryptoAPI podrían ser engañados por un certificado digital firmado de manera maliciosa y, por lo tanto, no se emitirían advertencias si un actor de la amenaza descifrara datos o inyectara datos maliciosos.

CVE-2020-0601 puede explotarse para socavar la confianza de la Infraestructura de clave pública (PKI), según Neal Ziring, director técnico de la Dirección de Ciberseguridad de la NSA. «Este tipo de vulnerabilidad puede sacudir nuestra creencia en la fortaleza de los mecanismos de autenticación criptográfica» , dijo Ziring, «y hacernos cuestionar si realmente podemos confiar en ellos».

¿Qué tan grave es esta vulnerabilidad de Windows 10?

Si bien ha habido cierto debate entre los profesionales de infoseguridad en línea sobre el grado en que esta vulnerabilidad podría ser explotada, y algunos incluso sugieren que es algo así como un truco de relaciones públicas de la NSA, la mayoría está de acuerdo en que CVE-2020-0601 no puede ser ignorado. «Esta vulnerabilidad puede no parecer llamativa, pero es un tema crítico», dijo Ziring, «los mecanismos de confianza son las bases sobre las que opera Internet, y CVE-2020-0601 permite que un actor de amenazas sofisticado subvierta esas mismas bases».

«Si bien es relativamente poco común que una vulnerabilidad de esta gravedad pase por el proceso de renta variable de la NSA y no se convierta en arma y se mantenga en secreto por sus capacidades ofensivas», Chris Hass, director de seguridad de la información e investigación en Automox, y ex NSA El analista de seguridad, dijo, «alude a un posible cambio de mentalidad».

Como resultado de la mala publicidad con las recientes infecciones de ransomware que fueron posibles gracias a EternalBlue, un exploit de la NSA filtrado. «Si un atacante pudiera falsificar un certificado para parecerse a un proveedor de confianza, probablemente pasaría por alto la mayoría de los controles de seguridad presentes en la organización, dándoles la libertad de hacer lo que quisieran», dijo Hass, esto no solo afecta a las firmas.

«La vulnerabilidad solo se califica como importante, pero ha habido muchos ejemplos de CVE que solo se calificaron como importantes para ser explotados en la naturaleza», dijo Todd Schell, gerente senior de productos de Ivanti, «debido a la naturaleza de esta vulnerabilidad instamos a las compañías a tratar esto como una prioridad este mes y remediarlo rápidamente «.

Al pensar en términos de posibles escenarios de ataque, Pratik Savla, un ingeniero de seguridad senior en Venafi, dijo que «si los atacantes disfrazan un binario ejecutable malicioso, por lo que parece un binario del sistema de Windows, puede permanecer sin ser detectado por un antivirus. Esto podría permite que los atacantes se mezclen e instalen, y obtienen el comando y el canal de control restablecidos al reiniciar «.

En un documento de asesoramiento técnico , la NSA explica cómo la vulnerabilidad podría permitir la invalidación de la confianza en las conexiones HTTPS, los archivos firmados y los correos electrónicos, así como el código ejecutable firmado lanzado como procesos en modo de usuario. Advierte además que «las herramientas de explotación remota probablemente estarán disponibles de forma rápida y amplia», de ahí la urgencia necesaria para aplicar la corrección del martes de parches.

Si bien no hay explotaciones conocidas de la vulnerabilidad en la naturaleza en esta etapa, la NSA tiene razón al advertir que es probable que las cosas cambien con bastante rapidez ahora que la divulgación de la vulnerabilidad se ha hecho pública. «Debido a que los parches se han lanzado públicamente», dijo CISA, «las vulnerabilidades subyacentes pueden ser modificadas para crear vulnerabilidades que se dirigen a sistemas no parcheados».

Alerta crítica de Windows 10: Parchee sus sistemas Windows 10 y parchelos ahora

El consejo de los profesionales de seguridad con los que he hablado, y las agencias del gobierno de los EE. UU. Como CISA y la NSA, en buena medida, sigue siendo el mismo que di ayer por la mañana: no difiera esta actualización particular de Windows Patch Tuesday, aplíquela tan pronto Posiblemente puedas.

Como dijo Tim Mackey, principal estratega de seguridad dentro del Synopsys CyRC (Centro de Investigación de Seguridad Cibernética): «hay momentos en que es razonable diferir un parche, pero diferir el parche para CVE-2020-0601 no es uno de ellos».