Windows: scoperta grave falla di sicurezza

Stefano Curci --- Full-stack developer, nel mondo lavorativo dal 2011

Windows: scoperta grave falla di sicurezza

La National Security Agency (NSA) l’organismo governativo degli Stati Uniti d’America che, insieme alla CIA e all’FBI, si occupa della sicurezza nazionale, ha scoperto una grave falla di sicurezza che affligge i sistemi Windows.

Microsoft ha dato subito il via al rilascio di un aggiornamento per tutte le versioni di Windows in circolazione il cui obiettivo è quello di porre rimedio a una grave vulnerabilità individuata all’interno della componente crypt32.dll ( il problema è stato etichettato come CVE-2020-0601 ).

Se si utilizza Windows, occorre aggiornare al più presto:

Impostazioni > Aggiornamento e sicurezza > Windows Update

Molti programmatori di Windows, se non la maggior parte, aggiungono funzionalità di crittografia al loro software proprio utilizzando la funzionalità vulnerabile CryptoAPI (contenuta nella componente crypt32.dll)

Una delle funzioni offerte da CryptoAPI è quella di controllare e convalidare i cosiddetti certificati digitali, che vengono utilizzati per garantire servizi online (come siti Web) o file caricati (come programmi).
I certificati digitali sono sostanzialmente i componenti che inseriscono la S in HTTPS e il lucchetto nella barra degli indirizzi del browser.
Sono anche il meccanismo crittografico che garantisce per il fornitore di qualsiasi software con firma digitale che si utilizza e si accerta che il software non sia stato manomesso.

Dati sensibili compromessi

Pertanto, se il componente che verifica il certificato digitale può essere “ingannato” da un hacker, la falla è potenzialmente in grado di compromettere la sicurezza delle credenziali per l’autenticazione a sistemi desktop e server, dei dati sensibili gestiti dai browser Internet, così come le informazioni legate ad applicativi di terze parti.
La vulnerabilità potrebbe inoltre essere sfruttata per far passare un malware inosservato alla scansione di un antivirus, attribuendogli l’etichetta di software legittimo e affidabile.

Approfondimento a cura della National Security Agency:
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

Approfondimento di Microsoft sulla vulnerabilità CVE-2020-0601
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601