Agenția de informații din SUA se așteaptă ca atacatorii să dezvolte rapid instrumente de exploatare a acesteia.
Microsoft a lansat o corecție de securitate pentru a rezolva o vulnerabilitate gravă în sistemul de operare Windows, care, în cazul în care este exploatată, ar putea permite codului malware inserat de atacatori să pară că ar fi cod provenit dintr-o sursă legitimă.
Vulnerabilitatea, remediată ca parte a lansării Patch Tuesday din această lună, afectează o componentă de cheie criptografică din Windows 10, Windows Server 2019 și Windows Server 2016. Deficiența a fost descoperită de Agenția Națională de Securitate a Statelor Unite (NSA), care, pentru prima dată, este acum acreditată oficial cu descoperirea unei vulnerabilități software.
Indicat ca CVE-2020-0601, bug-ul software se manifestă la nivelul în care „Windows CryptoAPI (Crypt32.dll) validează certificatele Elptic Curve Cryptography (ECC)”, se arată în avizul de securitate Microsoft. Modulul Crypt32.dll este responsabil pentru multe funcții de mesagerie criptografică și certificare din CryptoAPI.
"Un atacator ar putea exploata vulnerabilitatea folosind un certificat impersonat (spoofed) de semnare a codului, pentru a autentifica un executabil rău intenționat, făcând să pară că fișierul malițios provine dintr-o sursă de încredere, legitimă", a spus Microsoft.
Cu alte cuvinte, un atacator specializat ar putea păcăli victimele sale potențiale să instaleze secvențe de cod malware, impersonând o actualizare software legitimă, în timp ce sistemele PC și persoanele vizate nu ar putea identifica acest proces malițios.
„Utilizatorul atacat nu ar avea cum să identifice că fișierul este rău intenționat, deoarece semnătura digitală pare să provină de la un furnizor de încredere”, a precizat gigantul tehnologic.
„O exploatare de succes ar putea de asemenea să îi permită atacatorului să efectueze atacuri de infiltrare în traficul de date, de tip man-in-the-middle și să decripteze informații confidențiale din conexiunile utilizatorilor afectați”, a declarat Microsoft.
„Severa și răspândită”
Cu câteva ore înainte de anunțul oficial, zvonurile au circulat anticipând că nu va fi fi o lansare de corecții tipică. Astfel, mulți specialiști din comunitatea de securitate au așteptat intervenții semnificative din partea Microsoft după ce jurnalistul veteran în topicuri de securitate Brian Krebs a anunțat în avans, față de lansarea patch-ului, amploarea problemei:
„O vulnerabilitate de securitate extraordinar de serioasă”, a descris Krebs eroarea. Se presupune că guvernul și armata americană, precum și mai multe companii cu profil înalt au primit patch-urile în avans.
Gravitatea incidentului a determinat, în cele din urmă, o comunicare oficială din partea autorităților americane. Aceasta a inclus o alertă trimisa de Agenția de securitate cibernetică și infrastructură (CISA), și o directivă de urgentare provenită de la Departamentul de Securitate Internă (DHS) care a solicitat efectuarea de patch-uri rapide între entitățile federale, la care s-a adăugat firește avertizarea NSA.
„Consecințele neacoperirii vulnerabilității prin neefectuarea actualizării sistemelor de operare pot fi severe și de amploare. Instrumente de exploatare de la distanță, generate de creatorii de cod malware vor fi probabil disponibile rapid, la scară largă. Adoptarea rapidă a patch-ului este singura metodă de atenuare a riscului cunoscută în acest moment și ar trebui să fie principalul obiectiv pentru toate infrastructurile de sisteme”, a declarat agenția de informații. Nici NSA și nici Microsoft nu au raportat până acum incidente de exploatări ale vulnerabilității.
Windows 7, care și-a atins sfârșitul ciclului de viață chiar în această săptămână, Windows 8 sau alte sisteme Windows nu sunt însă afectate de vulnerabilitatea în cauză.
Setul de corecții livrat de Microsoft din această lună este format dintr-un total de 49 de vulnerabilități acoperite, care sunt rezumate în acest tabel de către Institutul Tehnologic SANS. Două defecte critice ale Windows Remote Desktop Gateway (RD Gateway), CVE-2020-0609 și CVE-2020-0610, ies în evidență, deoarece permit atacatorilor, de la distanță, să execute cod malware pe sistemul vizat.
Lasa un comentariu