Es algo que parece bastante peculiar, pero es habitual, la Agencia Nacional de Seguridad de Estados Unidos (NSA) reportó un fallo en Windows 10.
La falla tiene que ver con el peligro de que un atacante podría aprovechar la vulnerabilidad para firmar un ejecutable con código malicioso y hacerlo pasar como si viniera de una fuente legítima:
CVE-2020-0601 | Vulnerabilidad de suplantación de Windows CryptoAPI
Existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC).
Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima. El usuario no tendría forma de saber que el archivo era malicioso, porque la firma digital parecería ser de un proveedor confiable.
Una explotación exitosa también podría permitir al atacante realizar ataques de intermediarios y descifrar información confidencial sobre las conexiones de los usuarios con el software afectado.
La actualización de seguridad corrige la vulnerabilidad al garantizar que Windows CryptoAPI valida por completo los certificados ECC.
En la sección de agradecimientos podemos ver la referencia a la NSA sobre la advertencia de seguridad.
Foto: Lianhao Qu en Unsplash