NSA descobre vulnerabilidade ‘grave’ do Microsoft Windows. A Agência de Segurança Nacional dos EUA deu o passo incomum na terça-feira ao anunciar o que chama de vulnerabilidade “grave” no sistema operacional Windows 10 da Microsoft, antes da atualização de segurança do Patch Tuesday da Microsoft.
A falha pode permitir que os invasores executem ataques man-in-the-middle ou descriptografem dados confidenciais em aplicativos.
O Departamento de Segurança Interna dos EUA divulgou um comunicado na terça-feira ordenando que todas as agências federais corrijam a vulnerabilidade e instando todos os usuários do Windows a aplicarem o patch de segurança fornecido pela Microsoft em 10 dias.
A vulnerabilidade, listada como CVE-2020-060 , é uma falha de falsificação que afeta o CryptoAPI do Windows, um componente que lida com operações criptográficas no sistema operacional. Esta parte do SO valida certificados de criptografia de curva elíptica, que permitem criptografia de chave pública, de acordo com um comunicado de segurança da Microsoft.
Segundo o site Bank Info Security, se deixado sem patch, um invasor sofisticado pode usar a vulnerabilidade para falsificar certificados digitais usados como parte das comunicações criptografadas no Windows, de acordo com a Microsoft e a NSA. Isso significa que os hackers podem executar ataques man-in-the-middle ou descriptografar dados confidenciais em aplicativos, acrescenta a empresa.
“Um invasor pode explorar a vulnerabilidade usando um certificado de assinatura de código falsificado para assinar um executável malicioso, fazendo parecer que o arquivo é de uma fonte legítima e confiável“, de acordo com o comunicado da Microsoft. “O usuário não teria como saber que o arquivo era malicioso, porque a assinatura digital parece pertencer a um provedor confiável“.
A Microsoft diz que não viu ocorrências de exploração da vulnerabilidade. A vulnerabilidade afeta as versões do Windows 10 e do Windows Server 2016 e 2019.
Mechele Gruhn , gerente principal do programa de segurança do Microsoft Security Response Center, diz que a empresa classificou a vulnerabilidade como “importante” porque não foi explorada, mas a NSA a classifica como “grave”.
A Microsoft lançou patches para um total de 49 vulnerabilidades como parte de sua atualização de segurança de janeiro de 2020 da Patch Tuesday . Isso inclui oito falhas listadas como “críticas”.
A falha também é um problema no Windows Server 2016 e 2019, mas não parece afetar as versões mais antigas do sistema operacional.
Alan Woodward, especialista em segurança da Universidade de Surrey, disse sobre a falha: “É grande porque afeta o software criptográfico usado pelos sistemas operacionais da Microsoft. Embora não haja evidências de que tenha sido explorado por hackers, é um grande problema. ameaça, pois permite que os usuários se abram para uma variedade de ataques; portanto, esse é um caso de não entrar em pânico, mas aplicar o patch imediatamente. “
“A preocupação é que, assim que a vulnerabilidade for conhecida em detalhes, as explorações serão produzidas e os retardatários que não consertarem serão os principais alvos“.
Correção urgente
Não está claro quanto tempo a NSA soube da falha antes de informar a Microsoft. No passado, se a agência encontrasse esse tipo de vulnerabilidade do Windows, ela manteria as informações em si e possivelmente as utilizaria para seus próprios recursos de espionagem ou como parte de seus esforços cibernéticos ofensivos, segundo a CNBC .
Em seu comunicado nesta terça-feira, a NSA observa que a gravidade da vulnerabilidade é uma das razões pelas quais decidiu divulgá-la primeiro à Microsoft e depois ao público, apesar de não ter sido ativamente explorada.
“A NSA avalia que a vulnerabilidade é grave e que atores cibernéticos sofisticados entenderão a falha subjacente muito rapidamente e, se explorados, tornarão as plataformas mencionadas anteriormente como fundamentalmente vulneráveis“, afirma a agência.
Divulgação incomum
Em uma entrevista divulgada na terça-feira, Anne Neuberger, diretora de segurança cibernética da NSA, observou que essa é a primeira vez que a Microsoft credita à agência que denuncia uma falha de segurança, segundo a Forbes .
Outras agências de espionagem também alertaram a Microsoft sobre vulnerabilidades em seus produtos, o que é uma ruptura com as práticas anteriores. Em maio, por exemplo, o Centro Nacional de Segurança Cibernética do Reino Unido informou a empresa sobre uma vulnerabilidade de execução remota de código que eventualmente seria chamada BlueKeep .
No Twitter, o pesquisador de segurança britânico Kevin Beaumont observou que a aplicação do patch e a atenção às explorações são essenciais.
Rick Holland, CISO e vice-presidente de estratégia da empresa de segurança Digital Shadows, diz que essa falha é particularmente preocupante porque pode fazer com que o código malicioso de um invasor pareça legítimo para o sistema operacional.
“Essa vulnerabilidade é um multiplicador de forças para os atacantes que costumam fazer grandes esforços para colocar suas ferramentas na lista de permissões em seu ambiente de destino”, disse Holland ao Information Security Media Group. “A vulnerabilidade de falsificação do CryptoAPI oferece aos atacantes outra opção para fazer com que seu código pareça legítimo. Porém, existe um lado positivo; o Windows 7, que agora é o fim da vida, não é afetado por isso“