CSIRT Panamá Aviso 2019-01-15 Falla criptográfica en Windows 10 y Server 2016
Gravedad: Crítica
Fecha de publicación: 15 enero 2020
Última revisión: Revisión A.
Fuente: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
Sistemas
Afectados
• Windows 10
• Windows Server 2016
I.
Descripción
Existe una vulnerabilidad de suplantación de identidad en
la forma en que
Windows CryptoAPI (Crypt32.dll) valida los certificados de
criptografía de
curva elíptica (ECC).
II. Impacto
Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima. El usuario no tendría forma de saber que el archivo era malicioso, porque la firma digital parecería ser de un proveedor confiable.
Una explotación exitosa también podría permitir al atacante realizar ataques de hombre en el medio y descifrar información confidencial sobre las conexiones de los usuarios con el software afectado.
La actualización de seguridad corrige la vulnerabilidad al garantizar que Windows CryptoAPI valida por completo los certificados ECC.
III. Referencia a soluciones, herramientas e información
Para descargar el parche de forma inmediata puede hacerlo en el enlace https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601 y seleccionando su versión de Windows.
Por medio de Windows update también será incluido eventualmente.
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-mail: info@cert.pa
Web: http://www.cert.pa