Microsoft ha rilasciato un aggiornamento di sicurezza per CVE-2020-0601, una vulnerabilità di spoofing che sfrutta il modo in cui Windows CryptoAPI (Crypt32.dll) convalida i certificati ECC (Elliptic Curve Cryptography).
La vulnerabilità colpisce sistemi Windows 10 e Windows Server 2016 e 2019, e può essere utilizzata per abilitare possibili malintenzionati a firmare malware sfruttando certificati digitali contraffatti, oltre a condurre attacchi man-in-the-middle.
La vulnerabilità è classificata come importante ma, comunica Microsoft, non ne è stato rilevato l’utilizzo in attacchi attivi.
Come commenta lo specialista di cybersecurity ProofPoint, “Con questo aggiornamento di sicurezza Microsoft ha risolto una vulnerabilità che potrebbe consentire agli aggressori di far apparire legittimo il codice dannoso o di raccogliere informazioni da conversazioni di rete criptate. Anche se si tratta di una vulnerabilità grave per cui è assolutamente consigliabile applicare la patch, non c’è bisogno di farsi prendere dal panico. Se si pensa alla vulnerabilità e al numero di sistemi potenzialmente interessati, siamo lontani dagli scenari passati di Heartbleed o WannaCry. Inoltre, la nostra ricerca mostra come l’analisi comportamentale del malware sia in grado di identificare comunque codice dannoso, anche se è firmato con un certificato apparentemente legittimo“.
Come sempre Microsoft raccomanda ai clienti di aggiornare i loro sistemi il più rapidamente possibile.
L’aggiornamento, sottolinea Microsoft, è frutto della divulgazione coordinata delle vulnerabilità (CVD), una best practice comprovata del settore per affrontare le vulnerabilità della sicurezza.
Attraverso una partnership tra ricercatori e fornitori di sicurezza, la CVD garantisce che le vulnerabilità vengano affrontate prima di essere rese pubbliche. Per evitare rischi inutili per i clienti, i ricercatori e i fornitori di sicurezza non discutono i dettagli delle vulnerabilità segnalate prima che sia disponibile un aggiornamento.
La risoluzione della vulnerabilità, sottolinea Microsoft, è un esempio della collaborazione con la comunità di ricerca attraverso il Microsoft researcher portal , in cui una vulnerabilità è stata divulgata privatamente ed è stato rilasciato un aggiornamento per garantire che i clienti non siano stati messi a rischio
Un altro esempio della partnership con tutta l’industria, sottilinea Microsoft è il Security Update Validation Program (SUVP).
Attraverso questo programma le organizzazioni di tutto il mondo ricevono accessi alle versioni di valutazione di questi aggiornamenti limitati e controllati in modo che possano validare e verificare l’interoperabilità nei loro ambienti di test.
Si tratta di release candidate ai fini del test di compatibilità delle applicazioni.
Il loro feedback aiuta Microsoft a essere in grado di spedire fix di sicurezza di qualità a tutti i clienti durante l’aggiornamento periodico.
I partecipanti al programma SUVP non sono autorizzati a utilizzare le correzioni tranne che per questo scopo.
I dettagli per la serie completa di aggiornamenti rilasciati sono disponibili nella Guida agli aggiornamenti di sicurezza.
