19 ene. 2020

Exploits y PoCs para vulnerabilidad en Windows CryptoAPI (Parchea YA!)

Hasta ahora hay al menos tres PoC disponible para la vulnerabilidad de suplantación de identidad de Windows CryptoAPI rastreada como CVE-2020-0601 e informada por la Agencia de Seguridad Nacional (NSA), solo dos días después de que Microsoft lanzó un parche.

Los exploits para el defecto ahora conocido como CurveBall (según el investigador de seguridad Tal Be'ery) fueron liberados públicamente durante las últimas 24 horas por el equipo suizo de ciberseguridad Kudelski Security y un investigadore denominada Ollypwn.

Saleem Rashid por su parte también desarrolló un exploit para CurveBall pero solo twitteó capturas de pantalla de su código de exploit abusando de CVE-2020-0601. Este investigador britanico se valió de la reciente vulnerabilidad de Windows 10 para crear un exploit que mostraba el video de Rick Astley en las páginas de GitHub y la NSA. Esta vulnerabilidad permite a los atacantes crear TLS y certificados de firma de código que falsifican o se hacen pasar por otras compañías para realizar ataques de intermediarios o crear sitios de phishing.
Este exploit es una prueba de concepto de Saleem para demostrar el alcance de la vulnerabilidad CVE-2020-0601, descubierta por la NSA y reportada oficialmente a principios de esta semana. El investigador logró el rickroll a unas horas de haberse revelado el fallo, y a pesar de que un ataque a gran escala suena más complejo, la realidad es que esta vulnerabilidad es seria.

Un script de apenas 100 líneas de código sería suficiente para generar un certificado confiable para cualquier sitio web que navegadores como Edge, Chrome o el mismo Internet Explorer resolverían sin problemas. La solución a esto es instalar el parche de seguridad liberado por Microsoft.

Google acaba de lanzar Chrome 79.0.3945.130, que ahora detectará los certificados que intentan explotar la vulnerabilidad de Windows CryptoAPI CVE-2020-0601 descubierta por la NSA. Chrome agrega un nuevo código de Ryan Sleevi para verificar aún más la integridad del certificado de un sitio web antes de permitir que un visitante acceda al sitio.

Lo anterior también nos hace cuestionar si es válido revelar una vulnerabilidad a la par que se libera una actualización de seguridad. El tiempo que tarda el usuario en actualizar su equipo puede ser aprovechado por agentes maliciosos.

Este tema ha sido abordado recientemente por el Project Zero, quien ha ajustado sus políticas para brindar 90 días a las empresas como plazo para divulgar las vulnerabilidades. En caso de que la solución llegue antes, las compañías de software aprovecharían esa ventana de tiempo para distribuir los parches correspondientes.

Con estas PoCs ya lanzadas, que permiten a los atacantes crear fácilmente certificados falsificados, es solo cuestión de tiempo antes de que comencemos a verlos utilizados en los ataques.

Aquí y aquí se puede probar si Windows y/o el navegador  son vulnerables y aquí y aquí se pueden leer detalles técnicos.

Fuente: BleepingComputer

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!