Alcuni ricercatori mostrano come sia possibile modificare le informazioni utilizzate per firmare gli eseguibili e associare certificati digitali ai vari domini per trarre in inganno gli utenti e legittimare attività pericolose.
Nei giorni scorsi aveva fatto notizia la risoluzione di un problema di sicurezza scoperto dalla NSA (National Security Agency) in Windows 10, Windows Server 2019 e Windows Server 2016: ne abbiamo parlato nell'articolo Vulnerabilità nella libreria Crypt32.dll di Windows: attenzione alla provenienza dei file.
La novità è che in queste ore, a brevissima distanza dalla scoperta del bug di sicurezza, è stato pubblicato il primo codice Proof-of-Concept (PoC) che dimostra nella pratica come possa essere sfruttata la vulnerabilità.
Gli exploit utilizzati dai ricercatori Kudelski Security and "ollypwn" sono stati battezzati CurveBall nel loro complesso a sottolineare come il problema risieda nella validazione dei certificati digitali ECC (Elliptic Curve Cryptography) da parte della libreria Windows CryptoAPI integrata nel sistema operativo.
Come detto, la falla di sicurezza alla quale è stato assegnato l'identificativo , può essere sfruttata dai criminali informatici utilizzando un certificato di firma falsificato per firmare un eseguibile dannoso. In questo modo il file sembrerà proveniente da una fonte affidabile e legittima quando in realtà contiene codice nocivo. L'utente non ha modo di stabilire a colpo d'occhio se il file fosse o meno pericoloso perché la firma digitale sembra appartenere a un produttore o a uno sviluppatore conosciuto e fidato.
Un aggressore potrebbe riuscire a condurre un attacco man-in-the-middle decodificando informazioni riservate sui sistemi delle vittime e reindirizzando i dati raccolti verso server remoti.
FOnte: