Header Ads Widget

Ticker

6/recent/ticker-posts

¿Preocupado por un ataque ChainOfFools / CurveBall de la NSA? Hay muchas partes móviles. Prueba tu sistema.

Si bien muchos investigadores recomiendan que instale las actualizaciones del martes de parches de enero de Microsoft para defenderse de un ataque aún no inminente del agujero de seguridad CVE-2020-0601, los escépticos que están preocupados por las actualizaciones de Windows con errores ahora pueden verificar sus sistemas de forma independiente. Gracias a SANS, es fácil.


Si desea instalar los parches del martes de parches de enero, por supuesto, adelante. Dicho esto, continúo recomendando que pospongas la instalación de los parches de enero de Microsoft hasta que obtengamos una lectura más clara sobre posibles errores.

El argumento pro-patch-now generalmente es algo como esto: todos recomiendan que instale los parches para protegerse contra el error de Crypto: casi todos los principales agentes de seguridad, los investigadores, los grandes sitios en línea, su estación de noticias local, su congresscritter, el hijo de nueve años de su vecino, incluso el pitido de la NSA. Es un pequeño parche. ¿Por qué no simplemente instalarlo y terminar con él?

La vida no es tan simple. Microsoft tiene un historial horrible con las actualizaciones. (Puede ver una lista mes a mes, que se remonta a 25 meses ). Algunas personas instalan las últimas actualizaciones de Microsoft como un reloj y nunca tienen problemas. Pero demasiados clientes de Windows se ven afectados. Todavía estoy esperando a ver si hay grandes problemas con la cosecha de enero.

La gente de seguridad, en general, se enfoca en una amenaza potencial específica y no considera el resto del panorama. Eso es comprensible, pero el panorama general de este mes es realmente muy grande.

Para muchos administradores, la corrección de la puerta de enlace de escritorio remoto de este mes es mucho más importante . Los administradores ya están llenos de vulnerabilidades de Citrix y los 334 parches de seguridad que acaba de lanzar Oracle . En una escala del uno al diez, esos son decenas auténticos. ¿La amenaza ChainOfFools / CurveBall CVE-2020-0601? No tanto.

Para aquellos de ustedes que no están guardando secretos de estado o esquemas corporativos de sobornos, la situación es mucho más simple. Hay varios programas de prueba de concepto ChainOfFools / CurveBall flotando alrededor. Saleem Rashid tiene uno particularmente entretenido en GitHub . Pero no están ni cerca de ser ataques generalizados.

Todos sufren de un defecto fatal: su máquina tiene que recoger ("almacenar en caché") un certificado de buena seguridad específico antes de que ese certificado pueda ser atacado. Entonces, si el atacante está usando una versión eliminada del certificado de seguridad XYZ, por ejemplo, primero debe almacenar en caché una buena copia del certificado XYZ. Los intentos de craqueo actuales giran en torno a la modificación de un certificado que está instalado de forma predeterminada en Windows. Todavía no estamos en una etapa de crisis.

Hay otros obstáculos que enfrenta una pieza potencial de escoria de CurveBall:

Windows 7, 8.1 y versiones anteriores no son susceptibles. No evalúan los certificados de seguridad de una manera que pueda ser subvertida por CVE-2010-0601.
Algunos navegadores no se dejan engañar. En el momento de escribir estas líneas, Firefox es inmune (y siempre lo ha sido). Cuando se encuentra con un certificado malicioso, Edge arroja un error NET :: ERR_CERT_AUTHORITY_INVALID. Chrome se actualizó anoche con una solución que hará que sea mucho más difícil que te muerdan. 
Las últimas actualizaciones de Windows Defender señalan los programas maliciosos CurveBall.
Si se pregunta si su sistema es susceptible, Bojan y la gente de SANS han elaborado un análisis detallado de los patrones de ataque y un sitio web que puede usar para ver si su navegador es vulnerable. 

Vaya a https://curveballtest.com/index.html . El sitio le dirá de inmediato si su sistema específico, utilizando ese navegador específico, es susceptible. Es muy probable que vea la pantalla Aceptar, que se parece a la captura de pantalla.

 

En mis sistemas Win10 1809, 1903 y 1909 Pro sin parches, que ejecutan Firefox, Chrome y Brave, veo el letrero "No eres vulnerable".

Por supuesto, eso no cubre todas las posibles rutas de infección. Pero ciertamente saca lo más obvio. Y, nuevamente, no hemos visto ningún malware "real" en la naturaleza.

Mi recomendación es que instale los parches del martes de parches de enero inmediatamente solo si obtiene una respuesta de "Eres vulnerable" en la página de prueba de SANS. Si está claro, meh, manténgase alejado del pozo de prueba beta no pagado y espere a instalar los parches de enero hasta que tengamos una imagen más clara de los posibles daños colaterales.


Publicar un comentario

0 Comentarios