La vulnerabilidad CVE-2020-1464 era parte del 120 fallas de seguridad abordadas en Martes de parches de agosto. Esta vulnerabilidad se destaca particularmente, ya que fue expuesta activamente en ataques maliciosos durante al menos dos años antes de que Microsoft la solucionara..
Qué es CVE-2020-1464?
Según la descripción oficial proporcionada por Microsoft, el problema es una vulnerabilidad de suplantación provocada por la forma incorrecta en que Windows valida las firmas de archivos. En caso de un ataque exitoso, el atacante podría omitir las funciones de seguridad y cargar archivos firmados incorrectamente.
La corrección que se lanzó en el martes de parches de este mes, corrige la forma en que Windows valida las firmas de archivos.
Según Brian Krebs, Los ataques basados en CVE-2020-1464 se observaron por primera vez hace dos años., en agosto 2018, cuando varios investigadores se pusieron en contacto con Microsoft informándoles del problema. Sin embargo, no se menciona esto en el aviso de Microsoft, aunque la empresa reconoció que el error se explotó activamente en ataques.
En una publicación de blog dedicada a la vulnerabilidad, Brian Krebs comparte lo siguiente:
Bernardo Quintero es el gerente de VirusTotal, un servicio propiedad de Google que analiza los archivos enviados contra docenas de servicios antivirus y muestra los resultados. en enero. 15, 2019, Quintero publicó una publicación de blog que describe cómo Windows mantiene la firma Authenticode válida después de agregar cualquier contenido al final de los archivos de Windows Installer (los que terminan en .MSI) firmado por cualquier desarrollador de software.
Según Quintero, esta vulnerabilidad podría ser muy peligrosa si un atacante la utilizara para ocultar archivos Java maliciosos (.tarro). De hecho, este vector de ataque se detectó en una muestra de malware compartida con VirusTotal.
Esto significa que un atacante podría agregar un JAR malicioso a un archivo MSI firmado por una empresa como Microsoft o Google.. El archivo resultante podría cambiarse de nombre con la extensión .jar, aún teniendo una firma válida según Microsoft Windows. Lo que es bastante curioso es que Microsoft reconoció los hallazgos de Quintero pero se negó a abordar el problema cuando se informó por primera vez., como visible por el investigador publicación original de 2019.
Quintero no es el único investigador que expresó su preocupación por la vulnerabilidad, ya que otros lo siguieron rápidamente con hallazgos separados de ataques de malware que abusan del problema.
La pregunta simple es por qué Microsoft tuvo que esperar dos años antes de parchear adecuadamente el CVE-2020-1464 activamente explotado..
No es la primera vez que Microsoft se niega a parchear un día cero
Este no es el primer caso de tal magnitud, cuando Microsoft ha sido demasiado reacio a abordar errores críticos de día cero en Windows. Solo eche un vistazo a las historias vinculadas a continuación.:
- Microsoft falla al Parche de errores de día cero en Windows SymCrypt (Junio 2019)
- Microsoft se niega a Patch día cero en Internet Explorer Exploit (Abril 2019)
- Dos defectos de día cero en Internet Explorer y Edge estén desprotegidos (Abril 2019)
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: