20 enero, 2020

Vulnerabilidades Críticas Windows

Microsoft ha publicado actualizaciones de seguridad críticas en Windows: CVE-2020-0601- Windows CryptoAPI Spoofing Vulnerability

Sistemas afectados por las vulnerabilidades

Las vulnerabilidades CVE-2020-0601  afectan a las siguientes versiones de Windows:

  • Microsoft Windows 10, en varias versiones o ediciones. Ver listado aquí
  • Microsoft Windows Server 2016 y Windows Server 2016 (instalación de Server Core).
  • Microsoft Windows Server 2019 y Windows Server 2019 (instalación de Server Core).

Impacto

La explotación de las vulnerabilidades CVE-2020-0601 podría dar como resultado la ejecución de código arbitrario en el sistema vulnerable de Windows y también puede permitir ataques de man-in-the-middle en conexiones cifradas.

Microsoft CryptoAPI podría aceptar objetos criptográficos firmados con una versión falsificada de un certificado, por lo tanto podría pasar por alto advertencias y errores en ejecutables firmados con firma de código u otros objetos firmados. Un atacante podría:

  • instalar programas maliciosos, ver, cambiar o eliminar datos, crear cuentas de usuarios y tomar el control total del recurso afectado.
  • firmar un ejecutable malicioso, realizar ataques MITM y descifrar información confidencial sobre las conexiones de los usuarios con el software afectado.
  • divulgar información confidencial,
  • causar denegación de servicio,
  • ejecutar códigos remotos.
  • suplantar identidades, etc

Solución y Prevención

Microsoft ha publicado actualizaciones de software para abordar las vulnerabilidades críticas. Se recomienda su aplicación en los distintos sistemas operativos. Las mismas se pueden encontrar en los siguientes enlaces:

Además, como medida preventiva se recomienda:

  • Ejecutar todo el software como un usuario sin privilegios con derechos de acceso mínimos.
  • Implementar sistemas de detección de intrusos en la red y monitorear el tráfico de la red en busca de actividad maliciosa.
  • No aceptar ni ejecutar archivos de fuentes desconocidas o que no sean de confianza.
  • Enrutar el tráfico a través de dispositivos proxy, que realizan la inspección TLS. ● Utilizar herramientas de análisis de captura de paquetes, como Wireshark, para analizar y extraer los certificados y así determinar su validez.

Además se recomienda no publicar el protocolo RDP hacia internet; si es necesario acceder por RDP es recomendable hacerlo mediante una conexión VPN.

Se recomienda aplicar las actualizaciones de seguridad tan pronto como sea posible.

Información adicional: