L’agenzia di intelligence americana si aspetta che i criminali non tardino a sviluppare degli strumenti in grado di sfruttare la vulnerabilità.
Microsoft ha distribuito una patch di sicurezza per risolvere una grave vulnerabilità nel sistema operativo Windows che, se sfruttata, potrebbe consentire a utenti malintenzionati di distribuire malware come se fosse un codice proveniente da una fonte legittima.
La vulnerabilità, che viene risolta dall’implementazione della Patch Tuesday di questo mese, interessa un componente crittografico fondamentale di Windows 10, Windows Server 2019 e Windows Server 2016. Il problema è stato scoperto dalla National Security Agency (NSA) degli Stati Uniti che, per la prima volta in assoluto, viene ora ufficialmente accreditata della scoperta di una vulnerabilità del software.
Classificato come CVE-2020-0601, il bug interessa “il modo in cui Windows CryptoAPI (Crypt32.dll) convalida i certificati ECC (Elliptic Curve Cryptography)”, come si legge nell’avviso di sicurezza di Microsoft . Il modulo Crypt32.dll è responsabile di molte funzioni di messaggistica crittografica e di certificati in CryptoAPI.
“Un utente malintenzionato può sfruttare la vulnerabilità utilizzando un certificato per la firma di codice contraffatto per firmare un eseguibile dannoso, facendo sembrare che il file provenga da una fonte attendibile e legittima”, affermano da Microsoft.
In altre parole, un autore di codice malevolo potrebbe indurre le vittime a installare malware distribuendolo come, per esempio, un legittimo aggiornamento software previsto dalla stessa Microsoft.
“L’utente non avrebbe modo di sospettare che il file era dannoso, perché la firma digitale sembrava provenire da una fonte affidabile”, secondo il colosso tecnologico.
“Un exploit condotto con successo potrebbe anche consentire all’attaccante di condurre attacchi man-in-the-middle e decodificare informazioni riservate sulle connessioni degli utenti al software interessato”, sempre secondo Microsoft.
“Grave e diffuso”
Qualche ora prima dell’annuncio ufficiale, erano circolate voci che non si sarebbe trattato di un tipico rilascio di Patch Tuesday. In effetti, più di qualcuno negli ambienti della sicurezza potrebbe aver atteso con impazienza gli sviluppi di tale pubblicazione, dopo che il noto giornalista esperto di sicurezza Brian Krebs aveva diffuso qualche dettaglio sull’entità del problema:
“Una vulnerabilità di sicurezza straordinariamente grave”, ha scritto Krebs descrivendo il bug nel suo articolo di lunedì notte. Si dice che il governo e le forze armate statunitensi, nonché diverse compagnie di alto profilo, abbiano ricevuto le patch in anticipo.
La gravità della situazione alla fine ha indotto le autorità statunitensi ha diffondere una serie di comunicazioni ufficiali. Tra queste figurava in particolare un allarme da parte della Cybersecurity and Infrastructure Security Agency (CISA), una direttiva di emergenza del Dipartimento della sicurezza interna (DHS) che richiedeva il rilascio anticipato di patch per le agenzie federali e una consulenza della stessa NSA .
“Non correggere prontamente la vulnerabilità comporta conseguenze gravi e diffuse. Gli strumenti per sfruttarla da remoto saranno probabilmente resi rapidamente e ampiamente disponibili. Installare quanto prima la patch è l’unico sistema per ridurre i rischi e dovrebbe essere l’obiettivo principale per tutti gli amministratori di rete”, ha affermato l’agenzia di intelligence. Né la NSA né la Microsoft sono a conoscenza di casi in-the-wild in cui la vulnerabilità sia stata effettivamente sfruttata.
Proprio in questi giorni è terminato il ciclo di vita di Windows 7, che come Windows 8 o altri sistemi Windows non è interessato dalla vulnerabilità.
Il pacchetto Patch Tuesday di questo mese è composto da soluzioni per un totale di 49 vulnerabilità, che sono sinteticamente riassunte in questa tabella dal SANS Technology Institute. Due difetti critici nel Gateway Desktop remoto (Gateway Desktop remoto) di Windows, CVE-2020-0609 e CVE-2020-0610 , si distinguono in quanto consentono ad attaccanti remoti non autenticati di eseguire arbitrariamente del codice sul sistema di destinazione.
Lascia un commento