CVE-2020-0601 (Enero 2020)

El estándar criptográfico de clave pública RSA se utiliza (desde 1979) tanto para encriptar como para firmar digitalmente. Es un algoritmo de carácter asimétrico (una clave encripta, otra distinta desencripta) y que basa su fortaleza en la dificultad de la factorización de números enteros. El tamaño de estas claves es esencial en el algoritmo, hasta el punto de que ese tamaño aumenta conforme se obtiene mayor poder computacional en el mundo. Así las cosas, debemos empezar a asumir que absolutamente todo se puede desencriptar con el equipo adecuado y el tiempo suficiente. Dicho de otro modo, la criptografía basa su razón de ser en la complejidad computacional que supondría romper la clave, y no en la imposibilidad. Así, los desarrolladores aumentan el tamaño de esta clave conforme se hace más sencillo (gracias al avance tecnológico) factorizar con un ordenador típico, lo que explica el aumento de la longitud de clave de 1024 a 2048 bits que experimenta el algoritmo RSA.

La criptografía de curva elíptica (ECC) es un método mejorado que pretende, mediante la utilización de curvas elípticas en campos finitos, reducir el tamaño de esa clave tan larga sin perder efectividad. Reducir el tamaño de la clave tiene numerosas ventajas, entre las que destaca su uso sobre Secure Socket Layer, lo que aumenta notablemente la carga y procesamiento de las webs seguras al ser la clave mucho más liviana de transportar.

Para la validación de certificados ECC, Windows 10 y Windows Server 2016-2019 utilizan la librería «crypt32.dll», que utiliza innumerables parámetros para generar una curva que luego compara con la incluída en el certificado. El fallo, descubierto por la Agencia de Seguridad Nacional de Estados Unidos, implica que por un descuido de Microsoft la librería permite la alteración del parámetro encargado de generar la curva elíptica. Este hecho supone que es posible extraer un certificado de una autoridad de certificación confiable (v.gr. Microsoft) unirlo a un certificado propio y, para un equipo vulnerable, hacerlo pasar como si fuese completamente auténtico.

Le puede interesar también:   Tres ataques a esta web desde el extranjero ¿Son competentes los Juzgados españoles?

Las pruebas de concepto no se han hecho esperar y han descubierto lo que esto significa: ejecutables que se abren inmediatamente por parecer de confianza, suplantación de conexiones seguras vía HTTPS, suplantación de correos electrónicos, etc. Esto supone un peligro bastante grave, tanto para infraestructuras críticas como para el usuario corriente, con miles de posibilidades en el ámbito del red teaming (¿Y si alguien hace un MITM y suplanta una actualización legítima por código malicioso? ¿Y si alguien lo utiliza para firmar un correo y darle credibilidad a la estafa del CEO?).

Las acciones de mitigación en entorno de escritorio pasan por simplemente instalar todas las actualizaciones críticas de Microsoft lanzadas en enero de 2020. En el caso de servidores, es necesario seguir los pasos que Microsoft ha establecido, junto a la correspondiente aplicación del parche.




Copyright, 2020. José Carlos Rueda, abogado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *