ra2 studio - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

La NSA informó sobre la falla en el núcleo de criptografía de Windows

Microsoft corrigió una vulnerabilidad crítica que, según los expertos, afecta la forma en que Windows valida los certificados criptográficos que podrían conducir a ataques peligrosos, lo cual fue informado originalmente por la Agencia de Seguridad Nacional de EE.UU.

Después de años de críticas de la comunidad de seguridad de la información sobre el acaparamiento de vulnerabilidades críticas, la Agencia de Seguridad Nacional puede estar cambiando de rumbo.

Lo más destacado del primer informe de Martes de Parches de Microsoft de 2020 es una vulnerabilidad en el núcleo de criptografía de Windows que la Agencia de Seguridad Nacional de Estados Unidos (NSA) ya había notificado al proveedor. La falla en CryptoAPI DLL (CVE-2020-0601) afecta a Windows 10 y Windows Server 2016 y 2019. Según la descripción de Microsoft, un atacante podría explotar la forma en que Windows valida los certificados ECC para lanzar ataques de suplantación de identidad.

La NSA dio una descripción más sólida en su aviso, señalando que la falla de la criptografía de Windows también afecta "las aplicaciones que dependen de Windows para la funcionalidad de confianza" e impacta específicamente las conexiones HTTPS, los archivos y correos electrónicos firmados y el código ejecutable firmado.

"La explotación de la vulnerabilidad permite a los atacantes derrotar conexiones de red confiables y entregar código ejecutable mientras aparecen como entidades legítimamente confiables", escribió la NSA en su aviso. "La NSA considera que la vulnerabilidad es grave y que los actores cibernéticos sofisticados comprenderán la falla subyacente muy rápidamente y, si la explotan, harían que las plataformas mencionadas anteriormente sean fundamentalmente vulnerables. Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Herramientas de explotación remota probablemente estarán disponibles de manera rápida y serán ampliamente disponibles".

Will Dormann, analista de vulnerabilidades en el Centro de Coordinación CERT, confirmó que el problema también afecta a los certificados X.509, lo que significa que un atacante podría suplantar una cadena de certificados a una autoridad de certificados raíz confiable y potencialmente interceptar o modificar la comunicación cifrada TLS.

Johannes Ullrich, miembro del Centro de Tormentas de Internet del SANS, dijo que la falla es especialmente notable porque "la biblioteca afectada es un componente central de los sistemas operativos Windows. Casi todo el software que requiere cualquier tipo de criptografía la usa".

"La falla es peligrosa porque permite que un atacante se haga pasar por sitios web confiables y editores de software confiables. Las firmas digitales se usan en todas partes para proteger la integridad y la autenticidad del software, las páginas web y, en algunos casos, el correo electrónico", dijo Ullrich a nuestro sitio hermano, SearchSecurity. "Esta falla podría usarse para engañar a un usuario para que instale software malicioso. La mayoría de los productos de protección de punto final inspeccionarán la firma digital del software que instala el usuario y considerarán que el software creado por organizaciones confiables es inofensivo. Al usar esta falla, un atacante podría adjuntar una firma que afirma que el software fue creado por una entidad confiable".

Sin embargo, Craig Young, investigador de seguridad informática para el equipo de investigación de vulnerabilidad y exposición de Tripwire, dijo que el impacto de esta vulnerabilidad de criptografía de Windows podría estar más limitado a las empresas y que "la mayoría de las personas todavía no necesitan perder el sueño por este ataque".

"Entre los principales vectores de ataque que a la mayoría de las personas les interesarían se cuenta el malware de compromiso de sesión HTTPS con firmas de autenticación falsificadas. Sin embargo, el ataque contra HTTPS requiere que el atacante pueda insertarse en la red entre el cliente y el servidor. Esto limita principalmente los ataques a los adversarios de Estados-Naciones", dijo Young a SearchSecurity. "El riesgo real es más probable para las empresas en las que un atacante de un Estado o Nación puede estar motivado para llevar a cabo un ataque. El peor de los casos sería que se utilice un operador de red hostil o comprometido para reemplazar el contenido ejecutable legítimo de una sesión HTTPS con maliciosos binarios que tienen una firma falsificada."

Más allá de los parches, la NSA sugirió técnicas de prevención y detección de redes para inspeccionar certificados fuera de la validación de criptografía de Windows.

"Algunas empresas enrutan el tráfico a través de dispositivos proxy existentes que realizan la inspección TLS, pero no utilizan Windows para la validación de certificados. Los dispositivos pueden ayudar a aislar los puntos finales vulnerables detrás de los proxies mientras los puntos finales están siendo parcheados", escribió la NSA. "Los servidores proxy de inspección TLS configurados y administrados correctamente validan de forma independiente los certificados TLS de entidades externas y rechazan los certificados no válidos o no confiables, protegiendo los puntos finales de los certificados que intentan explotar las vulnerabilidades. Asegúrense de que la validación de certificados esté habilitada para los servidores proxy TLS para limitar la exposición a esta clase de vulnerabilidades y registros de revisión en busca de signos de explotación".

La NSA toma el crédito

Los expertos de la industria de seguridad de la información le dieron crédito a la NSA no solo por informar sobre la falla de la criptografía de Windows, sino también por proporcionar información detallada y consejos sobre la amenaza. Chris Morales, jefe de análisis de seguridad de Vectra, con sede en San José, California, elogió a la NSA por recomendar "aprovechar la detección de redes para identificar certificados maliciosos".

"Creo que hicieron un gran trabajo al ser concisos y claros tanto sobre el problema como sobre los cursos de acción recomendados", dijo Morales a SearchSecurity. "Por supuesto, sería genial si la NSA hiciera más de esto, pero no es su trabajo normal y no esperaría que fueran responsables de hacer el trabajo de los vendedores. Confiar en el vendedor para la notificación de eventos de seguridad siempre es importante."

Young también elogió el aviso de la NSA por ser muy útil y proporcionar "ideas útiles que no están incluidas ni en la nota del CERT/CC ni en el aviso de Microsoft".

La NSA está designada como la Secretaría Ejecutiva del Proceso de Renta Variable de Vulnerabilidades (VEP) del gobierno, diseñado para organizar el proceso de determinar qué vulnerabilidades encontradas por las agencias federales se mantendrían en secreto y cuáles serían reveladas. Sin embargo, la NSA ha recibido constantemente críticas de expertos por mantener en secreto demasiadas vulnerabilidades, siendo que debería divulgar más para ayudar a proteger al público. En los últimos años, esta crítica fue más fuerte cuando las armas cibernéticas filtradas de la NSA se utilizaron en los ataques generalizados de WannaCry.

El aviso de la NSA para la falla de criptografía de Windows es raro para la agencia, que ha sido más abierta con advertencias sobre posibles amenazas, pero no se sabe que comparta más análisis técnico.

Otra cosa que también hace que esta vulnerabilidad sea atípica, es que la NSA recibió atribuciones en la sección de reconocimiento de parches de Microsoft. Anne Neuberger, subdirectora nacional de la NSA, dijo en una llamada con los medios de comunicación que esta no era la primera vulnerabilidad que la NSA ha informado a Microsoft, pero es la primera vez que la agencia acepta la atribución.

El periodista de de seguridad informática, Brian Krebs, quien dio a conocer la historia del parche de criptografía de Windows, afirmó que las fuentes le dijeron que esta divulgación puede marcar el comienzo de una nueva iniciativa en la NSA para hacer que más investigaciones de vulnerabilidades estén disponibles para los vendedores y el público.

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close