CVE-2020-0601 -NSA scopre grave falla nei sistemi Microsoft.

Poveri voi: Microsoft Nsa CVE-2020-0601

Microsoft la finestra aperta sul mondo!

Ho aspettato qualche giorno prima di scrivere questo post. Volevo cercar di capire. Il guaio è grande!

La vulnerabilità esiste in Windows 10, il sistema operativo di punta di Microsoft, così come alcune versioni del suo software per server. Essa consente agli hacker di inserire codice dannoso in un computer di destinazione e di farlo apparire come proveniente da una fonte sicura e affidabile. La vulnerabilità potrebbe anche permettere agli hacker di decifrare comunicazioni criptate.

Lo sfruttamento della vulnerabilità consente agli aggressori di abusare della convalida di trust nelle connessione HTTPS , file certificati ed email certificate, lancio del codice eseguibile firmato come processi in modalità utente.

Il problema risiede nel modo in cui il modulo Crypt32.dll convalida i certificati ECC (Elliptic Curve Cryptography) che è attualmente lo standard per la crittografia a chiave pubblica e utilizzato nella maggior parte dei certificati SSL/TLS. Non è uno scherzo, è vero! E la stanno facendo passare come un bug qualsiasi.

Ciò che è così speciale dell’ultimo Patch Tuesday è che uno degli aggiornamenti corregge un grave difetto nel nucleo della componente crittografica delle edizioni di Windows 10, Server 2016 e 2019, ampiamente utilizzate, che è stato scoperto e segnalato all’azienda dalla National Security Agency (NSA) degli Stati Uniti.
La cosa più interessante è che questa è la prima falla nella sicurezza del sistema operativo Windows che la NSA ha riportato in modo responsabile a Microsoft, a differenza della falla di Eternalblue SMB che l’agenzia ha tenuto segreta per almeno cinque anni e poi è stata fatta trapelare al pubblico da un misterioso gruppo, che ha causato la minaccia di WannaCry nel 2017.

 

CVE-2020-0601
CVE-2020-0601

 



L’annuncio.

Il raro annuncio della voragine da parte della NSA, insieme alla decisione di avvertire Microsoft piuttosto che sfruttare il bug a fini di intelligence, sottolinea l’entità della minaccia che potrebbe rappresentare per le imprese, i consumatori e le agenzie governative di tutto il mondo.

L’NSA ha affermato che, sebbene in passato abbia condiviso informazioni sulla vulnerabilità con il settore privato, questa è la prima volta che si è fatta avanti pubblicamente per farlo. L’agenzia ha detto che la decisione riflette uno sforzo per costruire la fiducia con i ricercatori della sicurezza informatica.

Hanno sempre sfruttato le falle.. ed ora…

“Parte della costruzione della fiducia è mostrare i dati”, ha detto ai giornalisti Anne Neuberger, la direttrice della NSA per la sicurezza informatica, in una conference call. Poiché l’NSA non ha mai permesso a se stessa di essere collegata a una rivelazione di vulnerabilità, ha detto, “è difficile per le entità fidarsi del fatto che prendiamo la cosa sul serio”. E garantire che le vulnerabilità possano essere mitigate è una priorità assoluta”.

Il Dipartimento per la Sicurezza Nazionale ha detto che avrebbe emesso un bollettino alle agenzie federali consigliando loro di installare immediatamente le patch di Microsoft.
La falla riguarda una funzione di base di Windows che verifica la legittimità di applicazioni e programmi, una funzionalità nota come CryptoAPI.

“E’ l’equivalente di un servizio di sicurezza che presidia  un edificio al quale è dato il compito di controllo dei documenti di identità prima di permettere a un estraneo di venire a installare nuove attrezzature”, ha detto Ashkan Soltani, esperto di sicurezza ed ex capotecnologo della Commissione Federale per il Commercio.

Compromettendo questa funzione di convalida, gli hacker potrebbero facilmente impersonare “good” società di software per installare software, ha detto Soltani, consentendo loro potenzialmente di spiare gli utenti di computer o di tenere i loro dispositivi in ostaggio per il riscatto.

Secondo Microsoft – CVE-2020-0601.

Secondo un advisory rilasciato da Microsoft, il “difetto”, soprannominato ‘NSACrypt’ (CVE-2020-0601), risiede nel modulo Crypt32.dll. La dll  contiene varie ‘Certificate and Cryptographic Messaging functions’ utilizzate dalle Windows Crypto API per la gestione della crittografia e la decrittografia dei dati.

Il problema risiede nel modo in cui il modulo Crypt32.dll convalida i certificati ECC (Elliptic Curve Cryptography) che è attualmente lo standard industriale per la crittografia a chiave pubblica e utilizzato nella maggior parte dei certificati SSL/TLS.