Ayer, 14 de enero, Microsoft lanzó un parche para una vulnerabilidad crítica de seguridad en los Sistemas Operativos Windows 10, y Windows Server 2016 y 2019, entre otros. La vulnerabilidad denominada CVE-2020-0601, que fue descubierta por la NSA de Estados Unidos, afecta a un componente conocido como CryptoAPI (Crypt32.dll).
Entre las funcionalidades del componente CryptoAPI, destaca el uso de las firmas digitales. Por ello, esta vulnerabilidad podría permitir la falsificación de software legítimo, y facilitar la ejecución de software malicioso en el endpoint afectado para desplegar ataques de ejecución remota de código. GitHub explica que, tras la publicación de esta vulnerabilidad, es muy probable que se creen rápidamente herramientas de explotación remota. Por ello es sumamente crítico aplicar el parche cuanto antes.
El uso no autorizado de la firma digital provocaría que “el usuario no tuviese ninguna manera de saber que el archivo es malicioso, porque la firma digital parecería provenir de un proveedor confiable”, según explica Microsoft.
El CERT Coordination Center, del Centro de Divulgación de Vulnerabilidades de la Universidad de Carnegie Mellon, ha afirmado que la vulnerabilidad incluso puede utilizarse para interceptar y modificar comunicaciones HTTPS y TLS.
Microsoft asegura que aún no ha visto ninguna prueba de que la vulnerabilidad se haya explotado de manera activa. Pero la ha clasificado como “importante”. De hecho, su impacto podría alcanzar hasta los 900 millones de endpoints de todo el mundo. Supone, por tanto, un peligro grave para los usuarios y para la privacidad de sus datos.
La NSA y las vulnerabilidades
La NSA confirmó que había descubierto esta vulnerabilidad durante una rueda de prensa. Tras el descubrimiento, entregó los detalles de la vulnerabilidad a Windows para que desarrollara el parche. Anne Neuberger directora de ciberseguridad en la NSA, confirmó que, una vez descubierta la vulnerabilidad, pasó por un proceso de toma de decisiones para determinar si mantener el control de la misma para su uso en operaciones de seguridad ofensivas, o si divulgarla al fabricante.
Hace apenas tres años la NSA recibió duras críticas por haber encontrado y utilizado una vulnerabilidad de Windows para llevar a cabo operaciones de vigilancia en vez de informar a Microsoft de ella. Posteriormente esta vulnerabilidad se utilizó para crear un exploit llamado EternalBlue, que ganó infamia mundial tras su uso en los ataques del ransomware WannaCry.
Jake Williams, ex-hacker de la NSA explicó a TechCrunch que el hecho de que la vulnerabilidad se comunicó directamente a Microsoft en vez de usarla como un arma era todo un “alentado”. Dice Williams que “es probable que les resultara más fácil a los gobiernos utilizar esta vulnerabilidad que a un hacker cualquiera. Esta vulnerabilidad habría sido ideal para su explotación en conjunto con un ataque man-in-the-middle.”
Antes de lanzar públicamente el parche, Microsoft envió lo compartió con el gobierno estadounidense, su ejército y otras organizaciones destacadas ante el temor de que la vulnerabilidad llegara a ser explotada para atacar de manera activa a equipos vulnerables.
Una llave maestra para los ciberatacantes
Desde hace mucho tiempo, uno de los objetivos soñados de los ciberatacantes es hacer que su malware parezca ser un software legítimo. Según Williams, esta vulnerabilidad puede funcionar como una especie de “llave maestra” para sortear todo tipo de controles de seguridad, facilitando la ejecución de malware sin que se detecte como tal.
Parches: la mejor barrera contra las vulnerabilidades
La única manera de solucionar esta vulnerabilidad es aplicar el parche que ha lanzado Microsoft. De hecho, los parches son herramientas esenciales en ciberseguridad y deberían aplicarse en cuanto estén disponibles, ya que una vulnerabilidad puede ser la causa de una letanía en problemas de seguridad. Sin embargo, a pesar de esta necesidad apremiante, el tiempo promedio para aplicar un parche a una vulnerabilidad conocida es de 67 días.
La razón de esto suele ser la falta de recursos, herramientas y tiempo en una empresa. Otro problema que nos solemos encontrar es que a la organización le resulte difícil priorizar qué parches se deberían aplicar antes.
Para remediar estos problemas, Panda Security dispone de una solución diseñada específicamente para ayudar en la identificación, gestión e instalación de los parches. Panda Patch Management busca automáticamente los parches necesarios para que los equipos de tu empresa estén protegidos, prioriza las actualizaciones más urgentes, y planifica su instalación. Se notifican los parches pendientes incluso en detecciones de exploits y programas maliciosos.
Panda Patch Management lanza inmediatamente la instalación de estos parches y actualizaciones, o pueden ser programadas desde la consola, aislando el equipo si fuera necesario. De esta manera, podrás gestionar los parches y actualizaciones para asegurar el buen funcionamiento de tu empresa. Y completarás tu sistema de protección para blindar tus activos. Conoce más sobre Panda Patch Management aquí.
ACTUALIZA AHORA
La vulnerabilidad crítica de seguridad descubierta por la NSA ya tiene parche para resolverla: ¡ACTUALIZA AHORA!
Como siempre, nuestra recomendación es la de mantener siempre al día las actualizaciones y parchear sin demora.
No esperes y aplica ya el parche que puedes descargar desde la web de Microsoft:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
Permanece atento a las actualizaciones que iremos incluyendo desde Panda Security.
Nuestros clientes, siempre protegidos
El servicio de 100% Attestation Service nos hace inmunes a este ataque y actúa de virtual Patching de esta vulnerabilidad al validar el comportamiento de las aplicaciones incluso si lleva una firma confiable. Si la aplicación muestra comportamientos anómalos y maliciosos, es clasificada como malware, incluso si está firmada por una entidad de confianza.
Nuestro servicio de clasificación del 100% de las aplicaciones monitoriza la actividad en el endpoint, centrándose en asegurar la confiabilidad de todos los procesos en ejecución y denegando la ejecución de aplicaciones y procesos maliciosos. Una tecnología desarrollada por Panda Security que se encuentra de forma nativa incluida en nuestra solución Panda Adaptive Defense.
Mantén tu empresa automáticamente adaptada a la evolución de los ataques, y disfruta de los más altos niveles de prevención, detección y respuesta contra todo tipo de malware.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
