Microsoft corregge una grave vulnerabilità presente nel sistema di criptografia di Windows.


Nella giornata di ieri, in occasione del cosiddetto "Patch Tuesday", Microsoft ha rilasciato i primi aggiornamenti di sicurezza del 2020 per quanto riguarda Windows che si sono rivelati essere molto importanti perché, (oltre a chiudere circa 50 falle), sono anche andati a risolvere una grave vulnerabilità presente in tutte le versioni del sistema operativo. In pratica ad annunciarlo è stato Brian Krebs, noto giornalista e reporter investigativo, il quale attraverso un post pubblicato sul suo blog ha fatto sapere che il bug in questione, (denominato CVE-2020-0601), era presente all'interno di crypto32.dll, (ovvero un modulo che consente di cifrare e decifrare i dati mediante certificati digitali), e che a causa della sua pericolosità la società avrebbe distribuito in anticipo la patch all'esercito statunitense e ad alcuni clienti di fascia alta che si occupano dell'infrastruttura Internet: si tratta di organizzazioni che, sempre secondo le varie fonti, avrebbero firmato un accordo di riservatezza che ha vietato loro di divulgare i dettagli sulla vulnerabilità fino al rilascio ufficiale della patch. In sostanza sfruttando questa vulnerabilità un malintenzionato avrebbe potuto eseguire diverse azioni pericolose per la sicurezza di Windows, come, ad esempio, distribuire un malware firmato con un certificato legittimo che viene considerato un software benigno. Inoltre, considerando che crypto2.dll è stato introdotto per la prima volta oltre 20 fa con l'arrivo di Windows NT 4.0, il componente in questione, come già anticipato, risulta essere presente in tutte le successive versioni del sistema operativo nelle quali viene utilizzato oltre che per varie operazioni, (tra cui l'autenticazione su desktop e la protezione dei dati gestiti da Internet Explorer ed Edge), anche da numerose applicazioni di terze parti. Ad ogni modo lo Brian Krebs ha contattato Microsoft per avere maggiori informazioni sulla suddetta vulnerabilità, ma ovviamente l'azienda non ha fornito nessun dettaglio, limitandosi semplicemente a specificare che il rilascio anticipato delle patch avviene solo attraverso il Security Update Validation Program, (SUVP), per consentire i test di compatibilità e validazione in ambiente di laboratorio. Tuttavia, sempre nella giornata di ieri, la National Security Agency, (nota anche con la sigla NSA), ha rilasciato un consultivo nel quale ha spiegato come il bug CVE-2020-0601 potrebbe avere implicazioni di più ampia portata; difatti al riguardo si può leggere: «La vulnerabilità di convalida del certificato consente ad un utente malintenzionato di minare il modo in cui Windows verifica l'attendibilità crittografica e può consentire l'esecuzione di codice in modalità remota. La vulnerabilità interessa principalmente Windows 10 e Windows Server 2016/2019, nonché le applicazioni che si affidano a Windows per la funzionalità di affidabilità. Lo sfruttamento della vulnerabilità consente agli utenti malintenzionati di sconfiggere le connessioni di rete attendibili e fornire codice eseguibile mentre appaiono come entità legittimamente attendibili. Esempi in cui la convalida della fiducia può essere influenzata includono: connessioni HTTPS; file firmati ed e-mail; codice eseguibile firmato avviato come processi in modalità utente». Tra l'altro i responsabili dell'organo governativo statunitense hanno poi proseguito scrivendo: «La vulnerabilità mette a rischio gli endpoint Windows per un'ampia gamma di vettori di sfruttamento. L'NSA ritiene che la vulnerabilità sia grave e che i sofisticati cyber attori capiranno molto rapidamente il difetto sottostante che, se sfruttato, renderebbero le piattaforme precedentemente menzionate fondamentalmente vulnerabili. Le conseguenze della mancata correzione della vulnerabilità sono gravi e diffuse. Gli strumenti di sfruttamento remoto saranno probabilmente resi rapidamente ed ampiamente disponibili. L'adozione rapida della patch è l'unica mitigazione nota in questo momento e dovrebbe essere l'obiettivo principale per tutti i proprietari di reti». Comunque sia, prendendo in considerazione anche il fatto che sempre nella giornata di ieri Microsoft, come aveva precedentemente annunciato, ha abbandonato definitivamente il supporto al suo Windows 7, è molto importante che tutti gli utenti, (oltre che dotarsi di versioni di Windows ancora supportate, nonché di un buon antivirus), provvedano il prima possibile ad installare gli ultimi aggiornamenti disponibili, nel caso in cui questi non siano attivi automaticamente, per evitare, infine, eventuali attacchi da parte di malintenzionati.

Commenti