Grave vulnerabilità in Windows, stasera la patch

Microsoft rilascerà oggi i primi aggiornamenti di sicurezza del 2020 e contestualmente abbandonerà il supporto per Windows 7. Il cosiddetto Patch Tuesday di stasera sarà molto importante perché l’azienda di Redmond risolverà una grave vulnerabilità presente in tutte le versioni del suo sistema operativo.

Secondo le fonti dell’esperto di sicurezza Brian Krebs, il bug è presente in un componente di Windows che gestisce la crittografia dei dati. A causa della sua pericolosità, Microsoft avrebbe distribuito in anticipo la patch all’esercito statunitense e ad alcuni clienti di fascia alta che si occupano dell’infrastruttura Internet. Queste organizzazioni avrebbero firmato un accordo di riservatezza che gli vieta di divulgare i dettagli sulla vulnerabilità fino al rilascio ufficiale della patch. Il componente in questione è crypto32.dll, un modulo che consente di cifrare e decifrare i dati mediante certificati digitali.

Un malintenzionato potrebbe sfruttare il bug per eseguire diverse azioni pericolose per la sicurezza di Windows, ad esempio distribuire un malware firmato con un certificato legittimo che viene considerato un software benigno. Il componente viene utilizzato per varie operazioni, tra cui l’autenticazione su desktop e la protezione dei dati gestiti da Internet Explorer e Edge, oltre che da numerose applicazioni di terze parti.

Il modulo è stato introdotto oltre 20 anni fa con Windows NT 4.0, quindi è presente in tutte le successive versioni del sistema operativo. Brian Krebs ha contattato Microsoft per avere informazioni aggiuntive sulla vulnerabilità, ma l’azienda di Redmond non ha ovviamente fornito nessun dettaglio. Microsoft ha inoltre specificato che il rilascio anticipato delle patch avviene solo attraverso il Security Update Validation Program (SUVP) per consentire i test di compatibilità e validazione in ambiente di laboratorio. I partecipanti non devono applicare le patch ai sistemi di produzione.