Nuove vulnerabilità emergono continuamente, ma la migliore difesa contro gli aggressori che sfruttano le vulnerabilità patchate è semplice: mantenere aggiornato il software. Il patching tempestivo è uno dei passaggi più efficienti ed economici che un’organizzazione può adottare per ridurre al minimo la propria esposizione alle minacce alla sicurezza informatica.
Oggi, 14 gennaio 2020, Microsoft ha rilasciato correzioni software per risolvere 49 vulnerabilità come parte dell’annuncio mensile di Patch Tuesday.
Tra le vulnerabilità risolte ci sono i punti deboli critici di Windows CryptoAPI, Gateway Desktop remoto Windows (Gateway Desktop remoto) e Client desktop remoto Windows. Un utente malintenzionato può sfruttare in remoto queste vulnerabilità per decrittografare, modificare o iniettare dati sulle connessioni utente:
Poiché le patch sono state rilasciate pubblicamente, le vulnerabilità sottostanti possono essere retroingegnerizzate per creare exploit destinati a sistemi senza patch.
Si raccomanda vivamente alle organizzazioni di installare queste patch critiche il più presto possibile, dando la priorità alle patch iniziando con sistemi mission-critical, sistemi rivolti a Internet e server in rete. Le organizzazioni dovrebbero quindi dare la priorità all’applicazione di patch ad altre risorse informatiche / operative (IT / OT) interessate.
Esiste una vulnerabilità di spoofing nel modo in cui Windows CryptoAPI (Crypt32.dll) convalida i certificati ECC.
Secondo Microsoft, “un utente malintenzionato potrebbe sfruttare la vulnerabilità utilizzando un certificato di firma del codice contraffatto per firmare un eseguibile dannoso, facendo sembrare che il file provenga da una fonte attendibile e legittima. L’utente non avrebbe modo di sapere che il file era dannoso, poiché la firma digitale sembrava provenire da un provider attendibile. “Inoltre,” un exploit di successo potrebbe anche consentire all’attaccante di eseguire attacchi man-in-the-middle e decrittografare informazioni riservate sulle connessioni degli utenti al software interessato. ” [1]
Un cyber attaccante potrebbe sfruttare CVE-2020-0601 per ottenere informazioni sensibili, come informazioni finanziarie, o eseguire malware su un sistema mirato; per esempio:
L’Advisory Microsoft sulla sicurezza per CVE-2020-0601 risolve questa vulnerabilità assicurando che Windows CryptoAPI convalidi completamente i certificati ECC.
La National Security Agency (NSA) fornisce misure di rilevamento per CVE-2020-0601 nella loro consulenza sulla sicurezza informatica: vulnerabilità crittografica critica delle patch nei client e server Microsoft Windows . [2]
Secondo Microsoft, “Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel gateway desktop remoto di Windows (Gateway Desktop remoto) quando un utente malintenzionato non autenticato si collega al sistema di destinazione tramite RDP e invia richieste appositamente predisposte. Questa vulnerabilità è pre-autenticazione e non richiede interazione da parte dell’utente. ” [3] , [4]
CVE-2020-0609 / CVE-2020-0610:
Microsoft Security Advisories per CVE-2020-0609e CVE-2020-0610 affrontare queste vulnerabilità.
Secondo Microsoft, “Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel client desktop remoto di Windows quando un utente si connette a un server dannoso. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario sul computer del client di connessione. ” [5]
CVE-2020-0611 richiede all’utente di connettersi a un server dannoso tramite social engineering, avvelenamento da Domain Name Server (DNS), un attacco man-in-the-middle o da parte dell’attaccante che compromette un server legittimo.
L’Advisory Microsoft sulla sicurezza per CVE-2020-0611 risolve questa vulnerabilità.
Si raccomanda vivamente alle organizzazioni di leggere la pagina delle note di rilascio di Microsoft gennaio 2020 per ulteriori informazioni e applicare le patch critiche il più presto possibile, dare la priorità alle patch iniziando con sistemi mission-critical, sistemi rivolti a Internet e server di rete. Le organizzazioni dovrebbero quindi dare priorità al patching di altre risorse IT / OT interessate.
[1] Advisory Microsoft sulla sicurezza per CVE-2020-0601
[2] NSA Cybersecurity Advisory: Vulnerabilità crittografica patch-critical in M …
[3] Advisory Microsoft sulla sicurezza per CVE-2020-0609
[4] Advisory Microsoft sulla sicurezza per CVE-2020-0610
[5] Advisory Microsoft sulla sicurezza per CVE-2020-0611
[6] Blog CISA: vulnerabilità di Windows che richiedono attenzione immediata
[7] Nota sulla vulnerabilità CERT / CC VU # 849224
[8] Nota sulla vulnerabilità CERT / CC VU n. 491944