Bug en la librería criptográfica de Microsoft permite hacer denegación de servicio.

El pasado 26 de junio de 2019 en las noticias circuladas a nivel global por la mega firma Google a través de sus canales vio la luz una nota que daba cuenta de una vulnerabilidad del sistema operativa Windows que requería de u parche del sistema para evitar que se pudieran suceder ataques de denegación de servicios. A continuación se reproduce la nota:

Este bug en «SymCrypt» permite realizar una denegación de servicio en la aplicación que utilice la librería, e incluso forzando al usuario en algunos casos a reiniciar el sistema operativo.

Al tratarse de una vulnerabilidad que no permite ejecutar código malicioso, el propio investigador considera el bug como una vulnerabilidad de baja severidad. Aunque en ciertos casos, como es el caso de software para servidores como «Internet Information Services», una vulnerabilidad de denegación de servicio puede ser un problema importante.

El error se encuentra en la función «SymCryptFdefModInvGeneric», encargada de hacer el calculo del inverso modular. Durante el calculo del inverso modular, se produce un bucle infinito al realizar los cálculos en ciertos patrones de bits.

Se han realizado pruebas generando un certificado X.509 que explota la vulnerabilidad, y que al incluirlo en, por ejemplo, un mensaje S/MIME permite realizar una denegación de servicio a un servicio de Windows.

El fallo se reportó a Microsoft hace 91 días, tras los cuales, Microsoft no ha liberado ningún parche que resuelva el problema. Por ello, después de estos 91 días, se ha liberado la información acerca de la vulnerabilidad. Según Microsoft, el parche que resuelve este error se publicará junto al resto de parches de seguridad el 9 de julio.

Fuente: Google noticias

Tomado de http://www.segurmatica.cu/bug-en-la-librer%C3%ADa-criptogr%C3%A1fica-de-microsoft-permite-hacer-denegaci%C3%B3n-de-servicio

 

Esta entrada fue publicada en amenazas, denegación de servicios, informaciones, percepción de riesgo, prevención, seguridad informática, vulnerabilidades. Guarda el enlace permanente.

Deja una respuesta