Nei giorni scorsi è sta resa nota una grave vulnerabilità nelle CryptoAPI di Microsoft Windows 10 e Windows Server 2016-2019 (32 e 64 bit): il problema rende possibili gravi manomissioni del sistema e accessi fasulli a sistemi e servizi ritenuti erroneamente affidabili.
La vulnerabilità è tecnicamente legata ad una validazione non corretta di certificati ECC (Elliptic Curve Cryptography), che potrebbe essere sfruttata da un attaccante per compromettere la sicurezza delle credenziali per l’autenticazione a sistemi desktop e server.
La mancanza dell’aggiornamento permetterebbe a terzi di accedere a dati sensibili gestiti dai browser Internet Explorer ed Edge e anche le informazioni legate ad applicativi di terze parti, ma anche per firmare il codice di un eseguibile malevolo utilizzando un certificato non valido, facendo in modo che questo sembri provenire da fonti affidabili.
Microsoft ha rilasciato un aggiornamento per risolve il problema nel componente crypt32.dll. Il problema, etichettato nel database delle vulenrabilità come CVE-2020-0601, è descritto da Microsoft come “spoofing che permette alla componente CryptoAPI (crypt32.dll) di validare certificati Elliptic Curve Cryptography (ECC)”.
Particolare interessante e che a scoprire il problema è stata la National Security Agency (NSA), l’agenzia di intelligence USA nota per le sue attività di sorveglianza delle telecomunicazioni.
Di solito l’NSA preferisce tenere per sé queste scoperte (per ovvi motivi: sfruttarle ell’ambito dei programmi di controllo delle attività informatiche) ma questa volta il problema è stato segnalato pubblicamente. Se il sistema non l’ha giò fatto in automatico, il consiglio è quello di avviare gli aggiornamenti di Windows e installare gli update prima possibile.