Arriva dal ricercatore Brian Krebs l’avviso in merito al probabile imminente debutto di un aggiornamento destinato a tutte le versioni di Windows, confezionato da Microsoft in modo da porre rimedio a una grave vulnerabilità riscontrata in una componente del sistema operativo che si occupa della crittografia. Si tratta di crypt32.dll, un modulo che amministra “i certificati e le funzioni legate a CryptoAPI” così da consentire agli sviluppatori di eseguire la cifratura dei dati elaborati.
Windows: vulnerabilità in crypt32.dll, patch in arrivo
Stando alle informazioni trapelate, il gruppo di Redmond avrebbe già distribuito l’update ad alcuni clienti speciali come l’esercito americano e le organizzazioni che si occupano di gestire l’infrastruttura Internet. A loro sarebbe stato chiesto di sottoscrivere un accordo di riservatezza in modo da non diffondere dettagli in merito fino alla giornata di oggi, martedì 14 gennaio 2020, il primo Patch Tuesday dell’anno. Il primo a parlarne è stato Will Dormann del CERT Coordination Center con il tweet allegato di seguito in cui fa riferimento all’esigenza di installare l’update non appena sarà disponibile.
I get the impression that people should perhaps pay very close attention to installing tomorrow's Microsoft Patch Tuesday updates in a timely manner. Even more so than others.
I don't know… just call it a hunch?
¯_(ツ)_/¯— Will Dormann (@wdormann) January 13, 2020
Se forzata da malintenzionati la falla è potenzialmente in grado di compromettere la sicurezza delle credenziali per l’autenticazione a sistemi desktop e server, dati sensibili gestiti dai browser Internet Explorer ed Edge così come le informazioni legate ad applicativi di terze parti. Potrebbe inoltre essere sfruttata per far passare un malware inosservato alla scansione di un antivirus, attribuendogli l’etichetta di software legittimo e affidabile.
Curiosamente, il fix arriva proprio nel giorno che segna la fine del supporto a Windows 7 dopo oltre un decennio di mantenimento del sistema operativo. Come scritto poc’anzi sono interessate tutte le versioni della piattaforma in circolazione: la più recente 10, ma anche XP e i predecessori. La componente è stata introdotta da Microsoft nell’ormai lontano 1996 con la release NT 4.0.
L’unica dichiarazione giunta dal gruppo di Redmond in merito si limita ad affermare che è prassi non diffondere dettagli sugli aggiornamenti prima della loro effettiva distribuzione. L’azienda precisa inoltre che non c’è stato alcun rilascio anticipato della patch, sottolineando come il Security Update Validation Program abbia un compito differente, quello di testare l’efficacia e la compatibilità degli update confezionati.
Per oggi è fissata anche una conferenza della U.S. National Security Agency in merito a una non meglio precisata minaccia per la cybersecurity emersa di recente. Al momento non è dato a sapere se abbia a che fare o meno con la vulnerabilità di Windows in questione.