Vulnerabilità critiche nei sistemi operativi Microsoft Windows – Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers
Nuove vulnerabilità emergono continuamente, ma la migliore difesa contro gli aggressori che sfruttano le vulnerabilità patchate è semplice: mantenere aggiornato il software. Il patching tempestivo è uno dei passaggi più efficienti ed economici che un’organizzazione può adottare per ridurre al minimo la propria esposizione alle minacce alla sicurezza informatica.
Oggi, 14 gennaio 2020, Microsoft ha rilasciato correzioni software per risolvere 49 vulnerabilità come parte dell’annuncio mensile di Patch Tuesday.
Tra le vulnerabilità risolte ci sono i punti deboli critici di Windows CryptoAPI, Gateway Desktop remoto Windows (Gateway Desktop remoto) e Client desktop remoto Windows. Un utente malintenzionato può sfruttare in remoto queste vulnerabilità per decrittografare, modificare o iniettare dati sulle connessioni utente:
- Vulnerabilità legata allo spoofing di CryptoAPI – CVE-2020-0601: questa vulnerabilità interessa tutte le macchine che eseguono sistemi operativi Windows 10 a 32 o 64 bit, comprese le versioni di Windows Server 2016 e 2019. Questa vulnerabilità consente la convalida del certificato ECC (Elliptic Curve Cryptography) per bypassare la fiducia archiviare, consentendo a software indesiderato o dannoso di mascherarsi come autenticamente firmato da un’organizzazione fidata o affidabile. Ciò potrebbe ingannare gli utenti o contrastare i metodi di rilevamento del malware come l’antivirus. Inoltre, un certificato pericoloso potrebbe essere emesso per un nome host che non lo autorizzava e un browser che si basava su Windows CryptoAPI non avrebbe emesso un avviso, consentendo a un utente malintenzionato di decrittografare, modificare o iniettare dati sulle connessioni utente senza essere rilevato.
- Vulnerabilità del gateway Windows RD e del client desktop remoto Windows – CVE-2020-0609, CVE-2020-0610 e CVE-2020-0611: queste vulnerabilità riguardano Windows Server 2012 e versioni successive. Inoltre, CVE-2020-0611 riguarda Windows 7 e versioni successive. Queste vulnerabilità, nel client desktop remoto Windows e nel server Gateway Desktop remoto, consentono l’esecuzione di codice in modalità remota, in cui il codice arbitrario può essere eseguito liberamente. Le vulnerabilità del server non richiedono autenticazione o interazione dell’utente e possono essere sfruttate da una richiesta appositamente predisposta. La vulnerabilità del client può essere sfruttata convincendo un utente a connettersi a un server dannoso.
Poiché le patch sono state rilasciate pubblicamente, le vulnerabilità sottostanti possono essere retroingegnerizzate per creare exploit destinati a sistemi senza patch.
Si raccomanda vivamente alle organizzazioni di installare queste patch critiche il più presto possibile, dando la priorità alle patch iniziando con sistemi mission-critical, sistemi rivolti a Internet e server in rete. Le organizzazioni dovrebbero quindi dare la priorità all’applicazione di patch ad altre risorse informatiche / operative (IT / OT) interessate.
Dettagli tecnici
Vulnerabilità legata allo spoofing di CryptoAPI – CVE-2020-0601
Esiste una vulnerabilità di spoofing nel modo in cui Windows CryptoAPI (Crypt32.dll) convalida i certificati ECC.
Secondo Microsoft, “un utente malintenzionato potrebbe sfruttare la vulnerabilità utilizzando un certificato di firma del codice contraffatto per firmare un eseguibile dannoso, facendo sembrare che il file provenga da una fonte attendibile e legittima. L’utente non avrebbe modo di sapere che il file era dannoso, poiché la firma digitale sembrava provenire da un provider attendibile. “Inoltre,” un exploit di successo potrebbe anche consentire all’attaccante di eseguire attacchi man-in-the-middle e decrittografare informazioni riservate sulle connessioni degli utenti al software interessato. ” [1]
Un cyber attaccante potrebbe sfruttare CVE-2020-0601 per ottenere informazioni sensibili, come informazioni finanziarie, o eseguire malware su un sistema mirato; per esempio:
- Un certificato pericoloso può sembrare emesso per un nome host che non lo autorizza, impedendo a un browser che si basa su Windows CryptoAPI di convalidare la sua autenticità e di emettere avvisi. Se il certificato rappresenta il sito Web della banca di un utente, le sue informazioni finanziarie potrebbero essere esposte.
- Il malware firmato può bypassare le protezioni (ad es. Antivirus) che eseguono solo applicazioni con firme valide. File, e-mail ed eseguibili dannosi possono apparire legittimi per gli utenti senza patch.
L’Advisory Microsoft sulla sicurezza per CVE-2020-0601 risolve questa vulnerabilità assicurando che Windows CryptoAPI convalidi completamente i certificati ECC.
Misure di rilevamento
La National Security Agency (NSA) fornisce misure di rilevamento per CVE-2020-0601 nella loro consulenza sulla sicurezza informatica: vulnerabilità crittografica critica delle patch nei client e server Microsoft Windows . [2]
Vulnerabilità del gateway Windows RD – CVE-2020-0609 / CVE-2020-0610
Secondo Microsoft, “Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel gateway desktop remoto di Windows (Gateway Desktop remoto) quando un utente malintenzionato non autenticato si collega al sistema di destinazione tramite RDP e invia richieste appositamente predisposte. Questa vulnerabilità è pre-autenticazione e non richiede interazione da parte dell’utente. ” [3], [4]
CVE-2020-0609 / CVE-2020-0610:
- Interessa tutte le versioni di Windows Server supportate (Server 2012 e versioni successive; il supporto per Server 2008 termina il 14 gennaio 2020);
- Si verifica pre-autenticazione; e
- Non richiede alcuna interazione da parte dell’utente.
Microsoft Security Advisories per CVE-2020-0609e CVE-2020-0610 affrontare queste vulnerabilità.
Vulnerabilità legata al client desktop remoto Windows – CVE-2020-0611
Secondo Microsoft, “Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel client desktop remoto di Windows quando un utente si connette a un server dannoso. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario sul computer del client di connessione. ” [5]
CVE-2020-0611 richiede all’utente di connettersi a un server dannoso tramite social engineering, avvelenamento da Domain Name Server (DNS), un attacco man-in-the-middle o da parte dell’attaccante che compromette un server legittimo.
L’Advisory Microsoft sulla sicurezza per CVE-2020-0611 risolve questa vulnerabilità.
Fattori attenuanti
Si raccomanda vivamente alle organizzazioni di leggere la pagina delle note di rilascio di Microsoft gennaio 2020 per ulteriori informazioni e applicare le patch critiche il più presto possibile, dare la priorità alle patch iniziando con sistemi mission-critical, sistemi rivolti a Internet e server di rete. Le organizzazioni dovrebbero quindi dare priorità al patching di altre risorse IT / OT interessate.
Riferimenti
[1] Advisory Microsoft sulla sicurezza per CVE-2020-0601
[2] NSA Cybersecurity Advisory: Vulnerabilità crittografica patch-critical in M …
[3] Advisory Microsoft sulla sicurezza per CVE-2020-0609
[4] Advisory Microsoft sulla sicurezza per CVE-2020-0610
[5] Advisory Microsoft sulla sicurezza per CVE-2020-0611
[6] Blog CISA: vulnerabilità di Windows che richiedono attenzione immediata
[7] Nota sulla vulnerabilità CERT / CC VU # 849224
[8] Nota sulla vulnerabilità CERT / CC VU n. 491944
