Vulnerabilità critiche nei sistemi operativi Microsoft Windows – AA20-014A
Vulnerabilità critiche nei sistemi operativi Microsoft Windows – Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers
Nuove vulnerabilità emergono continuamente, ma la migliore difesa contro gli aggressori che sfruttano le vulnerabilità patchate è semplice: mantenere aggiornato il software. Il patching tempestivo è uno dei passaggi più efficienti ed economici che un’organizzazione può adottare per ridurre al minimo la propria esposizione alle minacce alla sicurezza informatica.
Oggi, 14 gennaio 2020, Microsoft ha rilasciato correzioni software per risolvere 49 vulnerabilità come parte dell’annuncio mensile di Patch Tuesday.
Tra le vulnerabilità risolte ci sono i punti deboli critici di Windows CryptoAPI, Gateway Desktop remoto Windows (Gateway Desktop remoto) e Client desktop remoto Windows. Un utente malintenzionato può sfruttare in remoto queste vulnerabilità per decrittografare, modificare o iniettare dati sulle connessioni utente:
Vulnerabilità legata allo spoofing di CryptoAPI – CVE-2020-0601: questa vulnerabilità interessa tutte le macchine che eseguono sistemi operativi Windows 10 a 32 o 64 bit, comprese le versioni di Windows Server 2016 e 2019. Questa vulnerabilità consente la convalida del certificato ECC (Elliptic Curve Cryptography) per bypassare la fiducia archiviare, consentendo a software indesiderato o dannoso di mascherarsi come autenticamente firmato da un’organizzazione fidata o affidabile. Ciò potrebbe ingannare gli utenti o contrastare i metodi di rilevamento del malware come l’antivirus. Inoltre, un certificato pericoloso potrebbe essere emesso per un nome host che non lo autorizzava e un browser che si basava su Windows CryptoAPI non avrebbe emesso un avviso, consentendo a un utente malintenzionato di decrittografare, modificare o iniettare dati sulle connessioni utente senza essere rilevato.
Vulnerabilità del gateway Windows RD e del client desktop remoto Windows – CVE-2020-0609, CVE-2020-0610 e CVE-2020-0611: queste vulnerabilità riguardano Windows Server 2012 e versioni successive. Inoltre, CVE-2020-0611 riguarda Windows 7 e versioni successive. Queste vulnerabilità, nel client desktop remoto Windows e nel server Gateway Desktop remoto, consentono l’esecuzione di codice in modalità remota, in cui il codice arbitrario può essere eseguito liberamente. Le vulnerabilità del server non richiedono autenticazione o interazione dell’utente e possono essere sfruttate da una richiesta appositamente predisposta. La vulnerabilità del client può essere sfruttata convincendo un utente a connettersi a un server dannoso.
Poiché le patch sono state rilasciate pubblicamente, le vulnerabilità sottostanti possono essere retroingegnerizzate per creare exploit destinati a sistemi senza patch.
Si raccomanda vivamente alle organizzazioni di installare queste patch critiche il più presto possibile, dando la priorità alle patch iniziando con sistemi mission-critical, sistemi rivolti a Internet e server in rete. Le organizzazioni dovrebbero quindi dare la priorità all’applicazione di patch ad altre risorse informatiche / operative (IT / OT) interessate.
Dettagli tecnici
Vulnerabilità legata allo spoofing di CryptoAPI – CVE-2020-0601
Esiste una vulnerabilità di spoofing nel modo in cui Windows CryptoAPI (Crypt32.dll) convalida i certificati ECC.
Secondo Microsoft, “un utente malintenzionato potrebbe sfruttare la vulnerabilità utilizzando un certificato di firma del codice contraffatto per firmare un eseguibile dannoso, facendo sembrare che il file provenga da una fonte attendibile e legittima. L’utente non avrebbe modo di sapere che il file era dannoso, poiché la firma digitale sembrava provenire da un provider attendibile. “Inoltre,” un exploit di successo potrebbe anche consentire all’attaccante di eseguire attacchi man-in-the-middle e decrittografare informazioni riservate sulle connessioni degli utenti al software interessato. ” [1]
Un cyber attaccante potrebbe sfruttare CVE-2020-0601 per ottenere informazioni sensibili, come informazioni finanziarie, o eseguire malware su un sistema mirato; per esempio:
Un certificato pericoloso può sembrare emesso per un nome host che non lo autorizza, impedendo a un browser che si basa su Windows CryptoAPI di convalidare la sua autenticità e di emettere avvisi. Se il certificato rappresenta il sito Web della banca di un utente, le sue informazioni finanziarie potrebbero essere esposte.
Il malware firmato può bypassare le protezioni (ad es. Antivirus) che eseguono solo applicazioni con firme valide. File, e-mail ed eseguibili dannosi possono apparire legittimi per gli utenti senza patch.
L’Advisory Microsoft sulla sicurezza per CVE-2020-0601 risolve questa vulnerabilità assicurando che Windows CryptoAPI convalidi completamente i certificati ECC.
Vulnerabilità del gateway Windows RD – CVE-2020-0609 / CVE-2020-0610
Secondo Microsoft, “Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel gateway desktop remoto di Windows (Gateway Desktop remoto) quando un utente malintenzionato non autenticato si collega al sistema di destinazione tramite RDP e invia richieste appositamente predisposte. Questa vulnerabilità è pre-autenticazione e non richiede interazione da parte dell’utente. ” [3] , [4]
CVE-2020-0609 / CVE-2020-0610:
Interessa tutte le versioni di Windows Server supportate (Server 2012 e versioni successive; il supporto per Server 2008 termina il 14 gennaio 2020);
Si verifica pre-autenticazione; e
Non richiede alcuna interazione da parte dell’utente.
Vulnerabilità legata al client desktop remoto Windows – CVE-2020-0611
Secondo Microsoft, “Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel client desktop remoto di Windows quando un utente si connette a un server dannoso. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario sul computer del client di connessione. ” [5]
CVE-2020-0611 richiede all’utente di connettersi a un server dannoso tramite social engineering, avvelenamento da Domain Name Server (DNS), un attacco man-in-the-middle o da parte dell’attaccante che compromette un server legittimo.
L’Advisory Microsoft sulla sicurezza per CVE-2020-0611 risolve questa vulnerabilità.
Fattori attenuanti
Si raccomanda vivamente alle organizzazioni di leggere la pagina delle note di rilascio di Microsoft gennaio 2020 per ulteriori informazioni e applicare le patch critiche il più presto possibile, dare la priorità alle patch iniziando con sistemi mission-critical, sistemi rivolti a Internet e server di rete. Le organizzazioni dovrebbero quindi dare priorità al patching di altre risorse IT / OT interessate.
Questo sito Web utilizza i cookie in modo da poterti offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser e svolgono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web ritieni più interessanti e utili.
Puoi modificare le tue preferenze in qualsiasi momento tramite il pannello delle impostazioni.
Cookie strettamente necessari
I cookie strettamente necessari rimangono essere sempre attivati per poter salvare le tue preferenze (come ad esempio i carrelli) per fornire funzionalità ed erogare servizi di sicurezza e qualità.
Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.
Cookie di terze parti
Questo sito utilizza Google Analytics e Facebook Pixel per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari. Mantenere abilitato questo cookie ci aiuta a migliorare il nostro sito web per fornire funzionalità ed erogare servizi di sicurezza e qualità, fornire, monitorare e gestire i servizi, proteggerti da spam, attività fraudolente e illeciti misurando il coinvolgimento e le statistiche.
Attiva i cookie strettamente necessari così da poter salvare le tue preferenze!
Cookie & Privacy Policy
Consulta la nostra Policy sulla Privacy e sui Cookie qui