NSA con Microsoft per la vulnerabilità di CryptoAPI

A scoprire la falla di Windows legata alla componente CryptoAPI, e di conseguenza a segnalarla a Microsoft, è stata la National Security Agency.
A scoprire la falla di Windows legata alla componente CryptoAPI, e di conseguenza a segnalarla a Microsoft, è stata la National Security Agency.

Come abbiamo scritto nelle ore scorse, Microsoft ha dato il via al rilascio dell’aggiornamento destinato ai sistemi operativi Windows in circolazione che mira a risolvere una grave vulnerabilità riguardante la componente CyptoAPI (crypt32.dll). Considerando l’importanza del bug e le potenziali ripercussioni il consiglio è quello di procedere il prima possibile al download e all’installazione dell’update.

CryptoAPI (crypt32.dll): il bug segnalato da NSA

Stando alle informazioni fin qui comunicate, a scoprire e segnalare il problema è stata la National Security Agency, che ha concesso alla software house di Redmond il tempo necessario per confezionare e distribuire la patch prima di parlarne pubblicamente, scongiurando così il rischio che le informazioni potessero finire nelle mani dei malintenzionati con conseguenze facilmente immaginabili.

Lasciando da parte l’aggiornamento in sé, la vicenda testimonia come l’agenzia americana potrebbe aver imparato una preziosa lezione, facendo tesoro dei propri errori passati. I più attenti ricorderanno che un paio di anni fa proprio NSA ha forzato una vulnerabilità scovata in Windows con l’obiettivo di confezionare l’exploit noto come EternalBlue, aprendo così una backdoor nei computer fallati con finalità legate alla sorveglianza. La cosa sfuggì di mano e da lì prese vita WannaCry, uno dei ransomware più virulenti di sempre, la cui azione è costata milioni di dollari alle sue vittime.

Sono dunque cambiate le priorità della National Security Agency? Non esattamente. Stando a quanto riferito alla redazione di TechCrunch da Anne Neuberger (direttore per la cybersecutiry dell’agenzia), una volta individuato il problema è stato sottoposto all’analisi del cosiddetto Vulnerability Equities Process, un programma di valutazione attraverso il quale gli organismi governativi USA determinano se la falla può tornare utile nel contesto delle operazioni condotte oppure se vale la pena comunicarla immediatamente allo sviluppatore.

Non è dato a sapere se prima di essere notificato alla software house il bug sia stato sfruttato in qualche modo. Nel suo bollettino sull’update, Microsoft ha reso noto non essere a conoscenza di attacchi messi a segno.

Fonte: TechCrunch
Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti