Depois que a Adobe lança hoje suas primeiras atualizações do Patch Tuesday para 2020, a Microsoft também publicou seus avisos de segurança em janeiro, alertando bilhões de usuários de 49 novas vulnerabilidades em seus vários produtos.
O que há de tão especial na última Patch Tuesday é que uma das atualizações corrige uma falha grave no componente criptográfico principal das edições amplamente usadas do Windows 10, Server 2016 e 2019 que foram descobertas e relatadas à empresa pela Agência de Segurança Nacional (NSA) dos Estados Unidos.
O mais interessante é que essa é a primeira falha de segurança no sistema operacional Windows que a NSA relatou com responsabilidade à Microsoft, ao contrário da falha Eternalblue SMBque a agência manteve segredo por pelo menos cinco anos e depois vazou para o público por um grupo misterioso, o que causou a ameaça do WannaCry em 2017.
O que há de tão especial na última Patch Tuesday é que uma das atualizações corrige uma falha grave no componente criptográfico principal das edições amplamente usadas do Windows 10, Server 2016 e 2019 que foram descobertas e relatadas à empresa pela Agência de Segurança Nacional (NSA) dos Estados Unidos.
O mais interessante é que essa é a primeira falha de segurança no sistema operacional Windows que a NSA relatou com responsabilidade à Microsoft, ao contrário da falha Eternalblue SMBque a agência manteve segredo por pelo menos cinco anos e depois vazou para o público por um grupo misterioso, o que causou a ameaça do WannaCry em 2017.
CVE-2020-0601: Vulnerabilidade de falsificação de Windows CryptoAPI
De acordo com um comunicado divulgado pela Microsoft, a falha, apelidada de ' NSACrypt ' e rastreada como CVE-2020-0601 , reside no módulo Crypt32.dll que contém várias 'funções de Mensagens de Certificado e Criptografia' usadas pela API de criptografia do Windows para lidar com criptografia e descriptografia de dados.
O problema reside na maneira como o módulo Crypt32.dll valida os certificados ECC (Elliptic Curve Cryptography), atualmente o padrão do setor para criptografia de chave pública e usado na maioria dos certificados SSL / TLS.
Em um comunicado de imprensa publicado pela NSA, a agência explica "a vulnerabilidade de validação de certificado permite que um invasor prejudique como o Windows verifica a confiança criptográfica e pode permitir a execução remota de código".
A exploração da vulnerabilidade permite que os invasores abusem da validação de confiança entre:
- Conexões HTTPS
- Arquivos e e-mails assinados
- Código executável assinado iniciado como processos no modo de usuário
"Existe uma vulnerabilidade de falsificação na maneira como o Windows CryptoAPI (Crypt32.dll) valida os certificados de ECC (Elliptic Curve Cryptography)", diz o comunicado da Microsoft.
"Um invasor pode explorar a vulnerabilidade usando um certificado de assinatura de código falsificado para assinar um executável malicioso, fazendo parecer que o arquivo é de uma fonte confiável e legítima. O usuário não teria como saber que o arquivo era malicioso porque a assinatura digital parece ser de um provedor confiável ".
Além disso, a falha no CryptoAPI também pode facilitar a invasão remota de atacantes intermediários em sites ou descriptografar informações confidenciais sobre as conexões dos usuários com o software afetado.
"Essa vulnerabilidade é classificada como importante e não a vimos usada em ataques ativos", afirmou a microsoft em outro post .
"Esta vulnerabilidade é um exemplo de nossa parceria com a comunidade de pesquisa de segurança, onde uma vulnerabilidade foi divulgada em particular e uma atualização foi lançada para garantir que os clientes não fossem colocados em risco".
"As conseqüências de não corrigir a vulnerabilidade são graves e generalizadas. As ferramentas de exploração remota provavelmente serão disponibilizadas de forma rápida e ampla", afirmou a NSA.
Além da vulnerabilidade de falsificação do Windows CryptoAPI classificada como 'importante' em gravidade, a Microsoft também corrigiu 48 outras vulnerabilidades, 8 das quais são críticas e as 40 restantes são importantes.
Não há mitigação ou solução alternativa disponível para esta vulnerabilidade; portanto, é altamente recomendável instalar as atualizações de software mais recentes, acessando Configurações do Windows → Atualização e segurança → Windows Update → clicando em "Verificar atualizações no seu PC".
Outras falhas críticas do RCE no Windows
Dois dos problemas críticos afetam o Gateway de Área de Trabalho Remota do Windows (Gateway RD), rastreado como CVE-2020-0609 e CVE-2020-0610 , que pode ser explorado por invasores não autenticados para executar código malicioso em sistemas de destino , enviando uma solicitação especialmente criada via RDP.
"Esta vulnerabilidade é pré-autenticação e não requer interação do usuário. Um invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no sistema de destino", diz o comunicado.
Um problema crítico no Remote Desktop Client, rastreado como CVE-2020-0611 , pode levar a um ataque RDP reverso, em que um servidor mal-intencionado pode executar código arbitrário no computador do cliente de conexão.
"Para explorar essa vulnerabilidade, um invasor precisa ter controle de um servidor e convencer um usuário a se conectar a ele", diz o comunicado.
"Um invasor também pode comprometer um servidor legítimo, hospedar código malicioso e aguardar a conexão do usuário".
Felizmente, nenhuma das falhas abordadas este mês pela Microsoft foi divulgada publicamente ou encontrada explorada.