0
0
A Agência de Segurança Nacional dos EUA deu o passo incomum terça-feira de anunciar o que chama de uma vulnerabilidade “grave” no sistema operacional Windows 10 da Microsoft antes da atualização de segurança patch terça-feira da Microsoft. A falha pode permitir que os invasores executem ataques man-in-the-middle ou descriptografem dados confidenciais dentro dos aplicativos.
O Departamento de Segurança Interna dos EUA divulgou um comunicado terça-feira ordenando todas as agências federais para corrigir a vulnerabilidade e instando todos os usuários do Windows para aplicar o patch de segurança fornecido pela Microsoft dentro de 10 dias.
A vulnerabilidade, que é listada como CVE-2020-060,é uma falha de falsificação que afeta cryptoapi do Windows, um componente que lida com operações criptográficas dentro do sistema operacional. Esta parte do sistema operacional valida certificados de criptografia de curva elíptica, que permitem criptografia de chave pública, de acordo com um comunicado de segurança da Microsoft.
Se não for corrigido, um invasor sofisticado pode usar a vulnerabilidade a certificados digitais falsos que são usados como parte de comunicações criptografadas dentro do Windows, de acordo com a Microsoft e a NSA. Isso significa que os hackers podem executivos de ataques entre homens no meio ou descriptografar dados confidenciais dentro de aplicativos, acrescenta a empresa.
“Um invasor poderia explorar a vulnerabilidade usando um certificado de assinatura de código falsificado para assinar um executável malicioso, fazendo parecer que o arquivo era de uma fonte confiável e legítima”, de acordo com o comunicado da Microsoft. “O usuário não teria como saber que o arquivo era malicioso, porque a assinatura digital parece ser de um provedor confiável.”
Microsoft diz que não viu nenhuma façanha no selvagem. A vulnerabilidade afeta versões do Windows 10, bem como do Windows Server 2016 e 2019.
Mechele Gruhn, gerente principal do programa de segurança do Microsoft Security Response Center, diz que a empresa classificou a vulnerabilidade como “importante” porque não foi explorada, mas a NSA classifica-a como “grave”.
A Microsoft lançou patches para um total de 49 vulnerabilidades como parte de sua atualização de segurança patch tuesday de janeiro de 2020. Isso inclui oito falhas listadas como “críticas”.
Remendo urgente
Não está claro quanto tempo a NSA sabia sobre a falha antes de informar a Microsoft. No passado, se a agência encontrasse este tipo de vulnerabilidade de Windows, manteria a informação a se e a usaria possivelmente para suas próprias capacidades espiando ou como parte de seus esforços ofensivos do cyber, de acordo com CNBC.
Em sua terça-feira consultiva, a NSA observa que a gravidade da vulnerabilidade é uma das razões pelas quais decidiu divulgá-la à Microsoft primeiro e, eventualmente, ao público, mesmo que não tenha sido explorada ativamente.
“A NSA avalia a vulnerabilidade grave e que os atores cibernéticos sofisticados entenderão a falha subjacente muito rapidamente e, se explorados, tornariam as plataformas mencionadas anteriormente como fundamentalmente vulneráveis”, diz a agência.
Divulgação incomum
Em um briefing terça-feira, Anne Neuberger, diretor da NSA de segurança cibernética, observou que esta a primeira vez que a Microsoft creditou a agência com a comunicação de uma falha de segurança, de acordo com a Forbes.
Rick Holland, CISO e vice-presidente de estratégia da empresa de segurança Digital Shadows, diz que essa falha é particularmente preocupante porque pode fazer o código malicioso de um invasor parecer legítimo para o sistema operacional.
“Essa vulnerabilidade é um multiplicador de força para os invasores que muitas vezes fazem grandes esforços para obter suas ferramentas listadas em seu ambiente de destino”, diz Holland Information Security Media Group. “A vulnerabilidade de falsificação cryptoapi dá aos invasores outra opção para fazer seu código parecer legítimo. Há um forro de prata embora; O Windows 7, que agora é o fim da vida, não é afetado por isso” (ver: Windows 7: Microsoft cessa atualizações de segurança gratuitas).
FONTE: BANKINFO SECURITY