Header Ads Widget

Ticker

6/recent/ticker-posts

Patch Tuesday secuelas: la amenaza de la NSA Crypt32 es real, pero aún no inminente

En uno de los martes de parches más vistos, Microsoft dio a conocer ayer sus parches de seguridad para todas las versiones recientes de Windows. Estrella del espectáculo: un agujero de seguridad aportado por la NSA. A partir del miércoles por la mañana, hay al menos un ataque Crypt32 a la vista, pero está lejos de ser aterrador.



Prepárese para que el reportero meteorológico de su estación de noticias local comience a dar una conferencia sobre la importancia de instalar parches de Windows.

Ayer tuvimos un extraordinario martes de parches. "Notable" específicamente en el sentido de que la Agencia de Seguridad Nacional de EE. UU. Decidió publicar un comunicado de prensa ( PDF ):

La NSA recomienda instalar todos los parches del martes de parches de enero de 2020 lo antes posible para mitigar eficazmente la vulnerabilidad en todos los sistemas Windows 10 y Windows Server 2016/2019.

Esa es la primera vez. Hasta ahora, la NSA nunca ha reconocido públicamente sus contribuciones a los esfuerzos de parcheo de Microsoft, ni ha recogido el látigo en la unidad de parcheo de Microsoft. El gurú de la seguridad Brian Krebs lo atribuye a un cambio de opinión en la NSA:

Las fuentes dicen que esta divulgación de la NSA está planeada para ser la primera de muchas como parte de una nueva iniciativa de la NSA denominada "Turn a New Leaf", cuyo objetivo es hacer que más investigación de vulnerabilidades de la agencia esté disponible para los principales proveedores de software y, en última instancia, para el público.

Krebs tiene una excelente descripción general  del agujero de seguridad, cargada de varias analogías alucinantes. Obtenga los detalles técnicos de la vulnerabilidad en la exposición Chain of Fools de Microsoft de Kenneth White . Si aún no ha sido inundado con explicaciones medio rápidas, tenga la seguridad de que todos los medios de comunicación del mundo están en el proceso de tratar de digerir y regurgitar las complejidades de los certificados de CryptoAPI y Elliptic Curve Cryptography.

Que significa todo esto? Si alguien puede resolver el enigma CVE-2020-0601, podrá crear programas que parecen provenir de una fuente confiable. Esa es una posibilidad aterradora, pero hay un largo camino desde un polinomio de tercer grado hasta un ransomware funcional.

Y no, CVE-2020-0601 no se puede usar para ingresar a la cadena de Windows Update.

Hasta la madrugada del miércoles, al menos un hacker de primera ha creado un exploit funcional de "Prueba de concepto". Casey Smith (@subTee) tiene un PoC , pero aún no está listo para su lanzamiento generalizado. Como dice Kevin Beaumont, "no es práctico a escala por una variedad de razones".


Entonces, con todos, la NSA, los 'Softies, su pronosticador del clima, el precoz pero maloliente niño de nueve años del novio de su peluquero, recomendando que se aplique el parche AHORA, por qué esperar?

Porque hay problemas con los parches de Win10 de este mes.

Los errores siempre tardan en aparecer. Este mes no es diferente. Desde muy temprano el miércoles por la mañana, veo muchos informes de problemas al instalar los parches, los mismos problemas que hemos tenido durante muchos años. Nadie sabe si hay algún problema más oscuro al acecho, y aún es demasiado pronto para saberlo.

Por ahora, te recomiendo que mantengas a raya todos los parches del martes de parches, hasta que tengamos la oportunidad de ver qué otras sorpresas nos esperan. Esa evaluación puede cambiar rápidamente, así que manténgase alerta.

Si está a cargo de los sistemas Server 2012, 2012 R2, 2016 y / o 2019, hay un problema mucho mayor que debe enfrentar ahora mismo. Dos de los agujeros de seguridad parcheados de este mes,  CVE-2020-0609 y CVE-2020-0610 , revelan un agujero de seguridad en la puerta de enlace de escritorio remoto de Windows, RDgateway, que permitirá que cualquier persona ingrese a su sistema si ingresa a través del puerto 443. Como parche Lady Susan Bradley lo dice :

Si es un consultor de TI o un administrador con un servidor Essentials 2012 (o posterior), o usa la función RDgateway y lo expone a través del puerto 443 para permitir que los usuarios obtengan acceso a RDweb o sus escritorios, olvídese del error crypt32.dll. Éste es uno de lo que preocuparse.

Los parches de enero deberían ser la máxima prioridad para este agujero de seguridad activo. Y, por supuesto, si está utilizando Pulse Connect Secure VPN o un cuadro de Citrix Gateway / ADC / NetScaler, ya lo tiene bloqueado (o desconectado), ¿verdad?

Este mes casi no tuvimos “actualizaciones de calidad” que no fueran de seguridad, es decir, correcciones de errores. Con algunas excepciones molestas (una en la versión 1809 de Win10), ninguno de los parches de Windows de este mes incluye correcciones documentadas de errores no relacionados con la seguridad. De hecho, hemos visto muy pocos parches que no sean de seguridad desde octubre. 

Todo lo cual subraya un problema continuo con el método "como servicio" de agrupar todos los parches del mes en una gran cantidad. Si tuviéramos parches Crypt32 y RDgateway separados, la gente podría optar por arreglar los grandes agujeros mientras espera los informes de problemas de los pequeños. 

Si los deseos fueran caballos, los piratas informáticos montarían.

Publicar un comentario

0 Comentarios