giovedì 20 Febbraio 2020

Download in corso

Softwareone.it

Windows 10, 900 milioni di Pc compromessi

La National Security Agency (NSA) ha scoperto un grave difetto in Windows 10 che avrebbe potuto consentire di violare o sorvegliare più di 900ML di sistemi creando software dannoso spacciato per legittimo. 

Pubblicità

Microsoft ha rilasciato una patch e ha dichiarato di non essere a conoscenza del bug sfruttato dagli hacker. Il problema è stato rivelato durante una conferenza stampa della NSA.

La vulnerabilità riguarda il modo in cui Microsoft usa le firme digitali per verificare che i software siano autentici; Questa falla permetterebbe di falsificare la firma legata a parti di software, riuscendo a spacciare un codice malevolo come spyware o ransomware, per software legittimo.

Scoperta e identificata come CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability; interessa la libreria crittografica CryptoAPI di Windows (Crypt32.dll) e, se sfruttata con successo, causerebbe una errata convalida di alcuni tipi di certificati crittografici.

Una errata validazione di certificati ECC (Elliptic Curve Cryptography) può consentire di firmare un eseguibile malevolo utilizzando un certificato non valido, facendolo apparire come legittimo e attendibile.

La stessa vulnerabilità potrebbe essere utilizzata anche per condurre attacchi man-in-the-middle e per riuscire a decifrare conversazioni e informazioni riservate trasmesse su connessioni HTTPS.

Microsoft fa sapere di non aver individuato, al momento, alcun exploit in grado di sfruttare la vulnerabilità.

Pubblicità

exploit

In un tweet il ricercatore Saleem Rashid , ha mostrato immagini del suo exploit del bug in Google Chrome e Microsoft Edge; Le immagini mostrano un processo noto come ” rickrolling ” , che crea un collegamento a un sito Web apparentemente legittimo, ma in realtà reindirizza l’utente a un video musicale della canzone ” Never Gonna Give You Up “. 

Il processo viene utilizzato per mostrare come qualcuno può essere indotto a fare clic su un collegamento che porta a un luogo inaspettato e potenzialmente dannoso.

Il codice su github: https://github.com/saleemrashid/badecparams

Il file badecparams.py genera un’autorità di certificazione radice che sfrutta il file vulnerabile, quindi rilascia certificati Authenticode e TLS.

Microsoft Edge, Internet Explorer e Chrome (e derivati) sono vulnerabili alla variante TLS; Firefox non è vulnerabile la rete di Mozilla (NSS) non supporta parametri EC espliciti e ne utilizza propria implementazione per la verifica del certificato.

Il certificato “GlobalSign ECC Root CA – R5” usato da badecparams.py può essere memorizzato nella cache accedendo a un legittimo sito Web che utilizza questa autorità di certificazione

Convalida

Sebbene sia possibile emettere un certificato EV che funziona in Microsoft Edge, causerà a Chrome di lanciare `NET :: ERR_CERT_AUTHORITY_INVALID`. Questo è perché Chrome controlla il certificato radice dei certificati EV rispetto a elenco hardcoded e rileverà che l’impronta digitale SHA-256 del nostro modificato il certificato non corrisponde.

Pubblicità

Sia Microsoft che la Nsa hanno affermato di non aver trovato prove dello sfruttamento della falla; e hanno esortato a installare subito la “patch” di sicurezza, che riguarda Windows 10, Windows Server 2016 e Windows Server 2019.

CVE-2020-0601

https://github.com/ollypwn/CVE-2020-0601

17-01-2020
Pubblicità