Vulnerabilidad NSACrypt corregida para Windows 10 via parche

Vulnerabilidad NSACrypt corregida para Windows 10 via pa

La Agencia de Seguridad Nacional de EEUU ha descubierto recientemente una vulnerabilidad crítica en Windows 10, que permitiría hacer spoofing (suplantación) en el servicio de criptografía (CryptoAPI).

Con el sobrenombre de NSACrypt, este fallo en la seguridad afecta a Crypt32.dll y permite la ejecución remota de código con fines maliciosos, afectando a la forma en que Windows certifica la confianza en el código.

Este fallo y otros ha quedado solventado en los parches de seguridad de Microsoft para Enero 2020, pero puedes seguir leyendo para entender mejor la problemática.

NSACrypt, vulnerabilidad que afecta a Windows 10

La NSA ha publicado un informe sobre la vulnerabilidad, con el ID CVE-2020-0601 y que afecta a cualquier versión de Windows 10. Además afecta a versiones Windows Server 2016 y 2019.

Las conexiones HTTPS, archivos de email cifrados y firmados así como el código ejecutado en Windows son algunos ejemplos de procesos que son validados mediante CryptoAPI y que podría verse alterados por un atacante.

Si tiene éxito:

[..]el usuario no tendrá manera de saber si el archivo era malicioso, dado que la firma digital del mismo aparecerá como si fuera procedente de un editor de confianza.

¿Medidas de protección?

Dado que no existe un workaround para este tipo de vulnerabilidad, la NSA recomienda:

Instalar todos los parches publicados por Microsoft en Enero 2020 lo antes posible. […] Si en la empresa no es posible utilizar el despliegue automatizado de parches, al menos debería priorizarse el parcheo de los endpoints para proporcionar un nivel de seguridad en los equipos que más dependan de estos servicios.

Desde Microsoft se publicó un boletín extra el pasado día 14 de Enero. Esta vulnerabilidad es catalogada como «importante» y afecta al modo usuario (usermode). No se ha visto implicada en ningún ataque activo hasta la fecha.

Otras menciones destacables en cuanto a parches de seguridad de Microsoft son:

  • CVE-2020-0609
  • CVE-2020-0610

Se trata de dos bugs que permitirían ejecución remota de código y que afectan a los servicios de RDP Gateway, que no requieren interacción de usuario.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.