Mostra tutti

Vulnerabilità critiche nei sistemi operativi Microsoft Windows – AA20-014A

Vulnerabilità critiche nei sistemi operativi Microsoft Windows – Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers

Nuove vulnerabilità emergono continuamente, ma la migliore difesa contro gli aggressori che sfruttano le vulnerabilità patchate è semplice: mantenere aggiornato il software. Il patching tempestivo è uno dei passaggi più efficienti ed economici che un’organizzazione può adottare per ridurre al minimo la propria esposizione alle minacce alla sicurezza informatica.

Oggi, 14 gennaio 2020, Microsoft ha rilasciato correzioni software per risolvere 49 vulnerabilità come parte dell’annuncio mensile di Patch Tuesday.
Tra le vulnerabilità risolte ci sono i punti deboli critici di Windows CryptoAPI, Gateway Desktop remoto Windows (Gateway Desktop remoto) e Client desktop remoto Windows. Un utente malintenzionato può sfruttare in remoto queste vulnerabilità per decrittografare, modificare o iniettare dati sulle connessioni utente:

  • Vulnerabilità legata allo spoofing di CryptoAPI – CVE-2020-0601: questa vulnerabilità interessa tutte le macchine che eseguono sistemi operativi Windows 10 a 32 o 64 bit, comprese le versioni di Windows Server 2016 e 2019. Questa vulnerabilità consente la convalida del certificato ECC (Elliptic Curve Cryptography) per bypassare la fiducia archiviare, consentendo a software indesiderato o dannoso di mascherarsi come autenticamente firmato da un’organizzazione fidata o affidabile. Ciò potrebbe ingannare gli utenti o contrastare i metodi di rilevamento del malware come l’antivirus. Inoltre, un certificato pericoloso potrebbe essere emesso per un nome host che non lo autorizzava e un browser che si basava su Windows CryptoAPI non avrebbe emesso un avviso, consentendo a un utente malintenzionato di decrittografare, modificare o iniettare dati sulle connessioni utente senza essere rilevato.
  • Vulnerabilità del gateway Windows RD e del client desktop remoto Windows – CVE-2020-0609, CVE-2020-0610 e CVE-2020-0611: queste vulnerabilità riguardano Windows Server 2012 e versioni successive. Inoltre, CVE-2020-0611 riguarda Windows 7 e versioni successive. Queste vulnerabilità, nel client desktop remoto Windows e nel server Gateway Desktop remoto, consentono l’esecuzione di codice in modalità remota, in cui il codice arbitrario può essere eseguito liberamente. Le vulnerabilità del server non richiedono autenticazione o interazione dell’utente e possono essere sfruttate da una richiesta appositamente predisposta. La vulnerabilità del client può essere sfruttata convincendo un utente a connettersi a un server dannoso.

Poiché le patch sono state rilasciate pubblicamente, le vulnerabilità sottostanti possono essere retroingegnerizzate per creare exploit destinati a sistemi senza patch.

Si raccomanda vivamente alle organizzazioni di installare queste patch critiche il più presto possibile, dando la priorità alle patch iniziando con sistemi mission-critical, sistemi rivolti a Internet e server in rete. Le organizzazioni dovrebbero quindi dare la priorità all’applicazione di patch ad altre risorse informatiche / operative (IT / OT) interessate.

Dettagli tecnici

Vulnerabilità legata allo spoofing di CryptoAPI – CVE-2020-0601

Esiste una vulnerabilità di spoofing nel modo in cui Windows CryptoAPI (Crypt32.dll) convalida i certificati ECC.

Secondo Microsoft, “un utente malintenzionato potrebbe sfruttare la vulnerabilità utilizzando un certificato di firma del codice contraffatto per firmare un eseguibile dannoso, facendo sembrare che il file provenga da una fonte attendibile e legittima. L’utente non avrebbe modo di sapere che il file era dannoso, poiché la firma digitale sembrava provenire da un provider attendibile. “Inoltre,” un exploit di successo potrebbe anche consentire all’attaccante di eseguire attacchi man-in-the-middle e decrittografare informazioni riservate sulle connessioni degli utenti al software interessato. ” [1]

Un cyber attaccante potrebbe sfruttare CVE-2020-0601 per ottenere informazioni sensibili, come informazioni finanziarie, o eseguire malware su un sistema mirato; per esempio:

  • Un certificato pericoloso può sembrare emesso per un nome host che non lo autorizza, impedendo a un browser che si basa su Windows CryptoAPI di convalidare la sua autenticità e di emettere avvisi. Se il certificato rappresenta il sito Web della banca di un utente, le sue informazioni finanziarie potrebbero essere esposte.
  • Il malware firmato può bypassare le protezioni (ad es. Antivirus) che eseguono solo applicazioni con firme valide. File, e-mail ed eseguibili dannosi possono apparire legittimi per gli utenti senza patch.

L’Advisory Microsoft sulla sicurezza per CVE-2020-0601 risolve questa vulnerabilità assicurando che Windows CryptoAPI convalidi completamente i certificati ECC.

Misure di rilevamento

La National Security Agency (NSA) fornisce misure di rilevamento per CVE-2020-0601 nella loro consulenza sulla sicurezza informatica: vulnerabilità crittografica critica delle patch nei client e server Microsoft Windows . [2]

Vulnerabilità del gateway Windows RD – CVE-2020-0609 / CVE-2020-0610

Secondo Microsoft, “Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel gateway desktop remoto di Windows (Gateway Desktop remoto) quando un utente malintenzionato non autenticato si collega al sistema di destinazione tramite RDP e invia richieste appositamente predisposte. Questa vulnerabilità è pre-autenticazione e non richiede interazione da parte dell’utente. ” [3] [4]

CVE-2020-0609 / CVE-2020-0610:

  • Interessa tutte le versioni di Windows Server supportate (Server 2012 e versioni successive; il supporto per Server 2008 termina il 14 gennaio 2020);
  • Si verifica pre-autenticazione; e
  • Non richiede alcuna interazione da parte dell’utente.

Microsoft Security Advisories per CVE-2020-0609CVE-2020-0610 affrontare queste vulnerabilità.

Vulnerabilità legata al client desktop remoto Windows – CVE-2020-0611

Secondo Microsoft, “Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel client desktop remoto di Windows quando un utente si connette a un server dannoso. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario sul computer del client di connessione. ” [5]

CVE-2020-0611 richiede all’utente di connettersi a un server dannoso tramite social engineering, avvelenamento da Domain Name Server (DNS), un attacco man-in-the-middle o da parte dell’attaccante che compromette un server legittimo.

L’Advisory Microsoft sulla sicurezza per CVE-2020-0611 risolve questa vulnerabilità.

Fattori attenuanti

Si raccomanda vivamente alle organizzazioni di leggere la pagina delle note di rilascio di Microsoft gennaio 2020 per ulteriori informazioni e applicare le patch critiche il più presto possibile, dare la priorità alle patch iniziando con sistemi mission-critical, sistemi rivolti a Internet e server di rete. Le organizzazioni dovrebbero quindi dare priorità al patching di altre risorse IT / OT interessate.

Riferimenti

[1] Advisory Microsoft sulla sicurezza per CVE-2020-0601
[2] NSA Cybersecurity Advisory: Vulnerabilità crittografica patch-critical in M ​​…
[3] Advisory Microsoft sulla sicurezza per CVE-2020-0609
[4] Advisory Microsoft sulla sicurezza per CVE-2020-0610
[5] Advisory Microsoft sulla sicurezza per CVE-2020-0611
[6] Blog CISA: vulnerabilità di Windows che richiedono attenzione immediata
[7] Nota sulla vulnerabilità CERT / CC VU # 849224
[8] Nota sulla vulnerabilità CERT / CC VU n. 491944

Rocco Balzamà

 
View all posts

Ti potrebbero interessare

26 Gennaio 2020

Email temporanea senza registrazione: naviga in sicurezza e sfrutta al meglio il Web

Continua
18 Gennaio 2020

Microsoft Browser Edge – Il nuovo aggiornamento basato sul motore Chromium

Continua
10 Ottobre 2019

Cybersecurity Awareness Month 2019 – Più responsabilità individuale per la sicurezza informatica

Continua
9 Ottobre 2019

IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

Continua
29 Settembre 2019

Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

Continua
22 Settembre 2019

Come proteggere la tua azienda dai malware gratuitamente

Continua
17 Settembre 2019

Simjacker – Ecco come spiare i telefoni cellulari

Continua
14 Settembre 2019

DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

Continua
11 Settembre 2019

Opzioni e valutazione delle impostazioni di sicurezza del browser Web

Continua
11 Settembre 2019

Cosa sono ed a cosa servono i cookie ed il contenuto attivo

Continua
30 Agosto 2019

Come proteggersi dai rischi legati all’uso dei social network

Continua
21 Agosto 2019

Off-Facebook Activity – Il nuovo strumento per la privacy di Facebook

Continua
5 Agosto 2019

Come proteggere la Smart TV dalle minacce della rete

Continua
25 Luglio 2019

Privacy: Stop allo spam per i titolari delle fidelity card

Continua
16 Luglio 2019

Come difendersi dalle truffe online ed acquistare in sicurezza

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
15 Marzo 2019

Educazione civica digitale e alla sicurezza online in Italia

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
8 Febbraio 2019

Consulenti del lavoro – Quando sono responsabili del trattamento dei dati

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua
4 Gennaio 2019

Hackers Leak Personal Data in Germania – Online i dati di politici e personaggi noti

Continua
31 Dicembre 2018

Cybersecurity: ecco i passi avanti dell’Italia

Continua
17 Dicembre 2018

Malware Shamoon – Attacco di cyber sabotaggio contro Saipem

Continua
29 Novembre 2018

GDPR data breach notification – Notifica della violazione dei dati GDPR

Continua
27 Novembre 2018

Sei stato hackerato? Ecco le informazioni utili a denunciare un accesso non autorizzato

Continua
14 Novembre 2018

#saveyourinternet – La campagna contro l’articolo 13

Continua
13 Novembre 2018

Adescamento online o Grooming – Cosa è e come comportarsi

Continua
2 Novembre 2018

Come e perchè devi mettere in sicurezza il tuo sito web

Continua
29 Ottobre 2018

Come migliorare la sicurezza informatica del mio computer

Continua
26 Ottobre 2018

Ransonware GandCrab – Rilasciato lo strumento di decrittografia dei file

Continua
16 Ottobre 2018

Come compremettere il tuo account di WhatsApp rispondendo ad una videochiamata

Continua
13 Ottobre 2018

Cyber Security Guidelines – Linee guida sulla sicurezza informatica per gli studi legali

Continua
11 Ottobre 2018

WordPress security – Come creare un registro delle attività per i siti usando WP Security Audit Log

Continua