La NSA informó a Microsoft que hay un grave fallo de seguridad en Windows 10 y Windows Server 2016. Y Microsoft ha lanzado parches para que los usuarios los instalen a la brevedad.
Es la primera vez que la Agencia de Seguridad Nacional de Estados Unidos toma la iniciativa de informar de forma pública una vulnerabilidad. Un cambio de estrategia que ha sido elogiado por los medios, y que tal como han mencionado, han informado a Microsoft apenas descubrieron el fallo.
Este fallo permite que cualquiera pueda falsificar firmas digitales. Esto abre las puertas para que los atacantes instalen malwares que no son detectados porque aparentan ser de una fuente confiable:
Existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC).
Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente confiable y legítima. El usuario no tendría forma de saber que el archivo era malicioso, porque la firma digital parecería ser de un proveedor confiable.
Y esto podría desencadenar en cualquier acción para robar información del usuario o interferir con la dinámica de Windows. Si bien no han detectado que esta vulnerabilidad haya sido explotada por algún atacante es importante que se realice la actualización de inmediato.
Microsoft ya ha probado los parches con algunos clientes clave, y ahora está extendiendo la descarga para todos los usuarios. Estos bloquean cualquier tipo de amenaza que intente aprovechar esta vulnerabilidad.
La forma más rápida de recibir esta actualización de seguridad es mediante Windows Update. Para ello, solo ve a Configuración de Windows 10 >> Actualización y seguridad y buscas si hay actualizaciones pendientes.
O si quieres hacerlo de forma manual, ve a Security Updates, buscas la actualización que corresponde a tu versión de Windows para que presente el enlace de descarga