En los últimos meses se ha descubierto una falla en el sistema operativo Windows, al cual se le ha nombrado ‘Curveball’. Una falla que lo hace vulnerable al robo de información, facilita el ingreso de malware malicioso, ataques man-in-the-middle entre otros. Es un error crítico y al cual se le debe poner pronto una solución. En el siguiente artículo te contamos todo sobre la vulnerabilidad Curveball y nuestros consejos para proteger tu equipo con parches de seguridad.
¿Qué es Curveball?
Me gusta ver el béisbol, me sorprenden los lanzadores que pueden lanzar una buena bola curva. Sin embargo, debido al movimiento antinatural requerido para lanzarlo, la bola curva es un lanzamiento avanzado que puede lesionar el codo y el hombro de un lanzador. Ahora hay un nuevo tipo de curva que debe preocuparnos, pero en lugar de dañar a un lanzador, este puede dañar la red.
“Curveball” es una nueva vulnerabilidad de seguridad en el sistema operativo Windows y debe corregirse rápidamente. Se conoce como CVE-2020-0601 (Exposición de vulnerabilidad común) o “Cadena de tontos”. La base de datos nacional de vulnerabilidad de EE. UU. le otorga una calificación CVSS (Sistema de calificación de vulnerabilidad común por sus siglas en inglés) de 8.1 en una escala de 1- 10, colocándole cerca de WannaCry (8.5) y Docker Doomsday (8.6).
La vulnerabilidad Curveball afecta a Windows Server 2016, Windows Server 2019 y Windows 10. Existe en Windows el crypt32.dll, que es un módulo criptográfico en Windows que implementa funciones de certificación y mensajería criptográfica en CryptoAPI de Microsoft.
Valida los certificados de aplicaciones de software y verifica las firmas de los certificados de seguridad de la capa de transporte (TLS) para garantizar que sean seguros. Estos certificados son el origen de aprobación de los certificados de autoridad (CA). Estos certificados comienzan con una autoridad de certificación raíz confiable. Los certificados que comienzan con una certificación raíz de confianza pueden firmar otros certificados, que luego firman otros certificados, etc.
Esto forma una “cadena de confianza” donde todos los certificados en la cadena apuntan a la CA raíz de confianza.
¿Por qué es peligroso Curveball?
La explotación de esta vulnerabilidad permite la entrega de código malicioso que parece provenir de una fuente confiable. Un atacante puede engañar a crypt32 para que piense que un certificado fue firmado por una autoridad raíz de confianza cuando en realidad no lo fue. Esto permite ataques que incluyan:
» Entrega de certificados de sitios web falsos que parecen legítimos y hacen que un usuario sea víctima de un ataque de phishing.
» Ataques Man-in-the-Middle, donde el atacante puede descifrar el tráfico que se mueve entre el sistema de un usuario e Internet y obtener información confidencial.
» El malware se puede parecer legítimo y engañar al sistema operativo para que piense que se puede confiar en él.
Qué hacer ante Curveball
La respuesta a esta vulnerabilidad es un parche de seguridad de Microsoft (disponible ahora), y debe implementarse rápidamente. Se dice en la calle que los intentos de explotar la vulnerabilidad ya han comenzado. La NSA (acreditado por descubrir Curveball e informar a Microsoft) lo calificó como “severo” y dice que los piratas informáticos sofisticados pueden encontrar la debilidad rápidamente y explotarla. Aconsejan además que todos los parches del martes de enero de 2020 se instalen lo más rápido posible en los sistemas Windows 10 y Windows Server 2016/2019
Posibles soluciones para Curveball
El año pasado había en promedio 1,500 vulnerabilidades por mes en la Base de Datos Nacional de Vulnerabilidad (NVD por sus siglas en inglés) y es probable que esto continúe. Los métodos de corrección manual ya no pueden mantenerse al día con la cantidad y la sofisticación de las vulnerabilidades, las soluciones automatizadas se han convertido en un requisito. No solo se necesita velocidad, además, su solución de automatización debe tener lo siguiente:
» Integración con los principales escáneres de vulnerabilidades y la capacidad de introducir sus datos.
» Análisis avanzado e inteligencia para transformar los datos de vulnerabilidad en información procesable. Su solución debe analizar rápidamente estos, determinar la gravedad, identificar los servicios comerciales expuestos y ayudar a establecer prioridades.
» Mapeo automatizado de vulnerabilidades, parches y cambios de configuración en los servidores y dispositivos de red afectados, requisición de la corrección (es decir, parche).
» Funciones de vanguardia y facilidad de uso que incluyen parches simplificados, consolas de automatización especialmente diseñadas para parches, tableros con capacidades de desglose, visibilidad de vulnerabilidades en activos no asignados y la capacidad de reducir la cantidad de ruido de vulnerabilidad con el que trabajan los equipos de operaciones. Esto generalmente consiste en eliminar vulnerabilidades que ya han sido remediadas, o están a punto de serlo, de los datos del escáner.
» Planificación, programación y ejecución de soluciones de vulnerabilidades donde el proceso se realiza de acuerdo con una diciplinada gestión de cambio.
» El proceso de remediación de vulnerabilidades puede ser mejorado aún más con las soluciones de Discovery para la detección de puntos ciegos y el mapeo de posibles rutas de ataque que un intruso podría tomar (movimiento lateral).
Nuevas opciones para modelos de implementación también están disponibles. Las organizaciones ahora pueden elegir entre soluciones híbridas con componentes ubicados tanto en la nube como on-premise, o instalaciones locales tradicionales. Ambos ofrecen ventajas, pero los beneficios de las soluciones de nube híbrida basadas en un modelo SaaS son muy convincentes y la industria avanza rápidamente en esa dirección.
BMC Client Management optimiza tu solución de gestión de servicios para ofrecer una administración completa y automatizada de activos, a fin de brindar un excelente servicio a los usuarios finales, reducir los costos, mantener el cumplimiento de normativas y minimizar los riesgos de seguridad. Con la gestión de parches protege los extremos contra amenazas. Solicita una demostración de Client Management y comprueba cómo con un punto centralizado de implementación de parches para sistemas operativos y aplicaciones, puede asegurarse de que se instalen parches en todos los sistemas para ayudar a aplicar las políticas de seguridad.
Consulta la información original en inglés.
