Lo más destacado de este último aviso es que una de las actualizaciones corrige un fallo grave en el componente criptográfico central de las ediciones de Windows 10, Server 2016 y 2019 que fue descubierto e informado a la compañía por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos.
Lo que es más interesante es que este es el primer fallo de seguridad en el sistema operativo Windows en el que la NSA informó rápidamente a Microsoft, a diferencia del error Eternalblue SMB que la agencia mantuvo en secreto durante al menos cinco años y luego fue filtrado al público por un grupo anónimo, lo que causó la amenaza de WannaCry en 2017.
Según un aviso publicado por Microsoft, el fallo, denominado ' NSACrypt ' y rastreado como CVE-2020-0601, reside en el módulo Crypt32.dll que contiene varias 'Funciones de certificado y mensajería criptográfica' utilizadas por la API de Windows Crypto para manejar el cifrado y descifrado de datos.
El problema reside en la forma en que el módulo Crypt32.dll valida los certificados de criptografía de curva elíptica (ECC) que actualmente es el estándar de la industria para la criptografía de clave pública y se utiliza en la mayoría de los certificados SSL / TLS.
En un comunicado de prensa publicado por la NSA, la agencia explica que "la vulnerabilidad de validación de certificados permite a un atacante socavar cómo Windows verifica la confianza criptográfica y puede permitir la ejecución remota de código".
La explotación de la vulnerabilidad permite a los atacantes abusar de la validación de confianza entre:
Aunque los detalles técnicos del error aún no están disponibles al público, Microsoft confirma que si se explota con éxito, podría permitir a los atacantes falsificar firmas digitales en el software, engañando al sistema operativo para que instale software malicioso mientras se hace pasar por la identidad de cualquier software legítimo sin conocimiento de los usuarios.
"Existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC)", dice el aviso de Microsoft. "Un atacante podría explotar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima. El usuario no tendría forma de saber que el archivo es malicioso porque la firma digital parecería ser de un proveedor de confianza ".
Además de esto, la vulnerabilidad en CryptoAPI también podría facilitar a los atacantes remotos intermedios hacerse pasar por sitios web o descifrar información confidencial sobre las conexiones de los usuarios con el software afectado.
"Esta vulnerabilidad se clasifica como Importante y no la hemos visto utilizada en ataques activos", dijo Microsoft en una publicación de blog separada.
"Esta vulnerabilidad es un ejemplo de nuestra asociación con la comunidad de investigación de seguridad en la que se divulgó una vulnerabilidad de forma privada y se lanzó una actualización para garantizar que los clientes no estuvieran en riesgo".
"Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Las herramientas de explotación remota probablemente estarán disponibles de forma rápida y generalizada", dijo la NSA.
Además de la vulnerabilidad de suplantación de identidad de Windows CryptoAPI que ha sido calificada como 'importante' en cuanto a severidad, Microsoft también ha parcheado otras 48 vulnerabilidades, 8 de las cuales son críticas y el resto las 40 son importantes.
No hay mitigación o solución disponible para esta vulnerabilidad, por lo que se recomienda encarecidamente instalar las últimas actualizaciones de software dirigiéndose a Configuración de Windows → Actualización y seguridad → Actualización de Windows → haciendo clic en 'Buscar actualizaciones en su PC'.
