Vulnerabilità nella libreria Crypt32.dll di Windows: attenzione alla provenienza dei file

Per tutto il pomeriggio odierno non hanno fatto che rimbalzare dall’altra sponda dell’oceano notizie circa una “falla in Windows estremamente critica” che avrebbe riguardato milioni di utenti e che avrebbe potuto seriamente mettere a rischio la riservatezza e l’integrità dei loro dati.
Tutto è partito da un articolo pubblicato dal noto giornalista Brian Krebs sul suo blog.

Con il passare delle ore il timore di alcuni è andato crescendo perché, nonostante le rassicurazioni di alcuni esperti come Tavis Ormandy e Kevin Beaumont, veniva a gran voce confermato il coinvolgemento della NSA (National Security Agency), ente governativo per la sicurezza nazionale USA in passato al centro di feroci critiche dopo la scoperta di attività volte alla catalogazione e all’utilizzo (in operazioni di intelligence) di vulnerabilità nei principali sistemi operativi e in altri prodotti di ampio utilizzo: WikiLeaks pubblica documenti della CIA che spiegano come sferrare attacchi informatici. Più di recente la NSA ha provato a tendere la mano ai ricercatori rilasciando un tool per disassemblare software: NSA rilascia un tool gratuito per disassemblare e discompilare software.

Adesso che Microsoft ha pubblicato i bollettini per la sicurezza di gennaio 2020 si apprende che i tecnici della NSA hanno effettivamente segnalato il problema in questione alla società di Redmond ma la falla appare oggettivamente meno grave di come era stata presentata.

Come si evince da questo documento di supporto, il bug interessa Windows 10, Windows Server 2019 e Windows Server 2016 ed ha a che fare con il funzionamento della libreria Crypt32.dll (Windows CryptoAPI).
Microsoft spiega che il sistema operativo effettua una validazione dei certificati ECC (Elliptic Curve Cryptography) in maniera scorretta.
Ciò significa che un aggressore può sfruttare la vulnerabilità utilizzando un certificato di firma falsificato per firmare un eseguibile dannoso, facendo sembrare che il file provenga da una fonte affidabile e legittima. L’utente non ha modo di sapere se il file è pericoloso perché la firma digitale pare appartenere a un produttore o uno sviluppatore conosciuto.

Con un attacco ben congegnato, lo stesso aggressore potrebbe riuscire a condurre un man-in-the-middle decodificando informazioni riservate sui sistemi delle vittime e girando i dati raccolti verso server remoti.

Come si vede, quindi, non si tratta di un attacco RCE (remote code execution): alla fine la vittima dovrebbe sempre eseguire codice malevolo sul suo sistema, client o server che sia. Semmai, la falla diventa importante per il fatto che è possibile trarre in inganno gli utenti dipingendo come sicure applicazioni in realtà pericolose.

Oltretutto, come osserva Microsoft nelle note finali del suo bollettino, anche dopo l’installazione della patch potrebbe non essere immediato accorgersi di un eventuale attacco. “Dopo l’applicazione dell’aggiornamento, il sistema genererà un evento con ID 1 allorquando venisse rilevato un tentativo di sfruttamento della vulnerabilità nota come CVE-2020-0601“, si legge.

Secondo la NSA, che ha pubblicato la sua analisi a questo indirizzo, la falla scoperta sarebbe particolarmente grave perché impatterebbe anche sulla sicurezza delle connessioni HTTPS e sulla verifica del reale mittente di un’email firmata digitalmente.
Maggiori dettagli tecnici sono disponibili nell’analisi del CERT Coordination Center.

The Microsoft advisory is out now.

1) it’s only rated Important
2) it’s a spoofing issue
3) to get RCE with it you would need auth, and to have code exec already

The NSA did a big press tour so before announcement so expect big media play. https://t.co/O8L414HoRt

— Kevin Beaumont (@GossiTheDog) January 14, 2020