La falla de Windows 10 permite que el malware se disfrace de software legítimo

La Agencia de Seguridad Nacional de EE.

UU.

Advirtió a Microsoft sobre una vulnerabilidad en Windows 10 de la que se puede abusar para hacer que el malware parezca un programa legítimo.

El martes, Microsoft lanzó un parche para corregir la falla, que también afecta a Windows Server 2016 y Windows Server 2019.

La "vulnerabilidad de suplantación" involucra la CryptoAPI del sistema operativo, también conocida como Crypt32.dll, que se puede usar para cifrar y descifrar datos.

.

La misma API también puede validar si una aplicación de Windows es legítima al autenticar que el certificado digital del programa proviene del desarrollador de software de confianza.

Sin embargo, la NSA descubrió una falla en el proceso de CryptoAPI que puede evitar que Windows autentique completamente un certificado.

"Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente legítima y confiable", dijo Microsoft en el aviso de hoy.

"El usuario no tendría forma de saber que el archivo es malicioso, porque la firma digital parecería ser de un proveedor confiable".

La compañía continuó advirtiendo que la vulnerabilidad puede allanar el camino para "ataques man-in-the-middle".

Esto podría implicar que un pirata informático distribuya un programa de apariencia legítima cuando en realidad ha sido manipulado para actuar como software espía.

La misma vulnerabilidad también puede falsificar las conexiones HTTPS cifradas a través de Internet, así como los archivos y correos electrónicos firmados, dijo la NSA en un aviso poco común publicado el martes.

"La vulnerabilidad pone a los endpoints de Windows en riesgo de una amplia gama de vectores de explotación.

La NSA evalúa que la vulnerabilidad es grave y que los ciberatactores sofisticados comprenderán la falla subyacente muy rápidamente y, si se explotan, convertirían las plataformas mencionadas anteriormente en fundamentalmente vulnerables".

"advirtió la agencia.

La vulnerabilidad, denominada CVE-2020-0601, ha estado acaparando los titulares después de que el periodista de seguridad Brian Krebs informara inicialmente que la falla era "extraordinariamente grave", lo que provocó que Microsoft enviara silenciosamente un parche a las sucursales del ejército estadounidense y otros clientes empresariales de alto valor.

La buena noticia es que Microsoft aún no ha descubierto a nadie que abuse de la vulnerabilidad.

Los sistemas operativos más antiguos, como Windows 7, tampoco se vieron afectados.

Sin embargo, la NSA predice que los piratas informáticos crearán y distribuirán rápidamente herramientas para explotar la falla de forma remota.

Por muy malo que parezca CVE-2020-0601, la vulnerabilidad en sí misma no tiene la capacidad de hacerse cargo de su PC de forma remota.

Aún tendría que descargar el software malicioso y ejecutarlo.

Al mismo tiempo, la mayoría de los usuarios confían en los navegadores de terceros de Google, Mozilla y Apple para visitar sitios web.

En cambio, la amenaza real es un pirata informático que se infiltra en sitios web o redes de servidores para distribuir software que parece ser legítimo, pero que en realidad es malware.

Es probable que la NSA esté instando a las empresas en particular a reparar la falla.

"Esta vulnerabilidad puede no parecer llamativa, pero es un tema crítico.

Los mecanismos de confianza son los cimientos sobre los que opera Internet, y CVE-2020-0601 permite que un actor de amenazas sofisticado subvierte esos mismos cimientos", escribió el director técnico de la NSA, Neal Ziring.

en una publicación.

Según Ziring, la agencia compartió detalles de CVE-2020-0601 "rápidamente" con Microsoft después de descubrir la falla.

Se desconoce si la NSA utilizó alguna vez la vulnerabilidad con fines de espionaje.

Pero la agencia ha recibido críticas por mantener en secreto un error de Windows más grave, llamado EternalBlue, que luego fue utilizado por el ransomware WannaCry para atacar PC en todo el mundo en 2017.

Puede descargar la corrección de hoy como parte del paquete de parches del martes de Microsoft desde el sitio web de la compañía.

Microsoft también implementará la solución en su máquina con Windows 10 si ha activado las actualizaciones automáticas.

La Agencia de Seguridad Nacional de EE.

UU.

Advirtió a Microsoft sobre una vulnerabilidad en Windows 10 de la que se puede abusar para hacer que el malware parezca un programa legítimo.

El martes, Microsoft lanzó un parche para corregir la falla, que también afecta a Windows Server 2016 y Windows Server 2019.

La "vulnerabilidad de suplantación" involucra la CryptoAPI del sistema operativo, también conocida como Crypt32.dll, que se puede usar para cifrar y descifrar datos.

.

La misma API también puede validar si una aplicación de Windows es legítima al autenticar que el certificado digital del programa proviene del desarrollador de software de confianza.

Sin embargo, la NSA descubrió una falla en el proceso de CryptoAPI que puede evitar que Windows autentique completamente un certificado.

"Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente legítima y confiable", dijo Microsoft en el aviso de hoy.

"El usuario no tendría forma de saber que el archivo es malicioso, porque la firma digital parecería ser de un proveedor confiable".

La compañía continuó advirtiendo que la vulnerabilidad puede allanar el camino para "ataques man-in-the-middle".

Esto podría implicar que un pirata informático distribuya un programa de apariencia legítima cuando en realidad ha sido manipulado para actuar como software espía.

La misma vulnerabilidad también puede falsificar las conexiones HTTPS cifradas a través de Internet, así como los archivos y correos electrónicos firmados, dijo la NSA en un aviso poco común publicado el martes.

"La vulnerabilidad pone a los endpoints de Windows en riesgo de una amplia gama de vectores de explotación.

La NSA evalúa que la vulnerabilidad es grave y que los ciberatactores sofisticados comprenderán la falla subyacente muy rápidamente y, si se explotan, convertirían las plataformas mencionadas anteriormente en fundamentalmente vulnerables".

"advirtió la agencia.

La vulnerabilidad, denominada CVE-2020-0601, ha estado acaparando los titulares después de que el periodista de seguridad Brian Krebs informara inicialmente que la falla era "extraordinariamente grave", lo que provocó que Microsoft enviara silenciosamente un parche a las sucursales del ejército estadounidense y otros clientes empresariales de alto valor.

La buena noticia es que Microsoft aún no ha descubierto a nadie que abuse de la vulnerabilidad.

Los sistemas operativos más antiguos, como Windows 7, tampoco se vieron afectados.

Sin embargo, la NSA predice que los piratas informáticos crearán y distribuirán rápidamente herramientas para explotar la falla de forma remota.

Por muy malo que parezca CVE-2020-0601, la vulnerabilidad en sí misma no tiene la capacidad de hacerse cargo de su PC de forma remota.

Aún tendría que descargar el software malicioso y ejecutarlo.

Al mismo tiempo, la mayoría de los usuarios confían en los navegadores de terceros de Google, Mozilla y Apple para visitar sitios web.

En cambio, la amenaza real es un pirata informático que se infiltra en sitios web o redes de servidores para distribuir software que parece ser legítimo, pero que en realidad es malware.

Es probable que la NSA esté instando a las empresas en particular a reparar la falla.

"Esta vulnerabilidad puede no parecer llamativa, pero es un tema crítico.

Los mecanismos de confianza son los cimientos sobre los que opera Internet, y CVE-2020-0601 permite que un actor de amenazas sofisticado subvierte esos mismos cimientos", escribió el director técnico de la NSA, Neal Ziring.

en una publicación.

Según Ziring, la agencia compartió detalles de CVE-2020-0601 "rápidamente" con Microsoft después de descubrir la falla.

Se desconoce si la NSA utilizó alguna vez la vulnerabilidad con fines de espionaje.

Pero la agencia ha recibido críticas por mantener en secreto un error de Windows más grave, llamado EternalBlue, que luego fue utilizado por el ransomware WannaCry para atacar PC en todo el mundo en 2017.

Puede descargar la corrección de hoy como parte del paquete de parches del martes de Microsoft desde el sitio web de la compañía.

Microsoft también implementará la solución en su máquina con Windows 10 si ha activado las actualizaciones automáticas.