Investigadores han revelado que la falla (CVE-2020-1464) Zero-day de tipo suplantación que afecta a los sistema Windows y que fue parcheada recientemente por Microsoft durante el Patch Tuesday de Agosto 2020, se le conocía por más de dos años.
La semana pasada fue el Path Tuesday correspondiente al mes de Agosto 2020, donde Microsoft abordó un total de 120 vulnerabilidades, entre ellas se destacaban dos que estaban siendo explotadas (Zero-day), donde una es una vulnerabilidad en Internet Explorer de ejecución de código remoto y la otra es una vulnerabilidad en sistemas Windows de suplantación.
Según la descripción de Microsoft, la falla de suplantación, seguida como (CVE-2020-1464) puede ser explotada por un atacante al saltarse los controles de seguridad y cargar archivos firmados incorrectamente, debido a una incorrecta validación de las firmas de archivo. Cabe destacar que aunque Microsoft confirmó que los actores maliciosos estaban explotando este problema contra los sistemas Windows, no proporcionaron ningún detalle técnico respecto a los ataques, algo que seguramente se debió a medidas de prevención.
Pero recientemente los expertos revelaron que analizaron el código con el fin de abordar la falla CVE-2020-1464, donde descubrieron que esta vulnerabilidad lleva siendo conocida por un par de años y lo más serio del caso, es que Microsoft estaba al tanto del error pero no lo solucionó hasta la semana pasada.
Según uno de los expertos, la vulnerabilidad fue llamada GlueBall, revelada desde Agosto del 2018, por medio de una muestra cargada de malware en VirusTotal. Poco después Microsoft fue informado y en Enero de 2019 VirusTotal publicó detalles técnicos sobre el ataque GlueBall. En dicha publicación se puede leer una descripción parecida a la Microsoft, solo que un poco más técnica, donde explica que Microsoft valida la firma “Authenticode”, después de añadir cualquier contenido al final de los archivos instaladores de Windows (.MSI) firmado por cualquier desarrollador de software. Este comportamiento puede ser aprovechado por atacantes para saltarse algunas soluciones de seguridad para la validación del código firmado de Microsoft Windows. El escenario es especialmente peligroso cuando el código añadido es un “JAR”, debido a que el archivo resultante tendrá una firma válida según Microsoft Windows y el malware podrá ser ejecutado directamente por Java.
Para uno de los investigadores, los detalles técnicos son bastante obvios, pero la manera en que Microsoft ha manejado el reporte de la vulnerabilidad le parecen extraños. Para él y para todos los involucrados (incluyendo Microsoft), estaba bastante claro, que GlueBall es una vulnerabilidad Zero-Day. Por lo tanto, no está claro porqué se decidió parchearlo ahora y no hace dos años.
Fuente:
https://securityaffairs.co/wordpress/107314/hacking/cve-2020-1464-windows-spoofing-flaw.html
COMENTARIOS