VTS20-001: VSR WinCrypto

Revisiones

1.0: 28 de febrero de 2020, lanzamiento inicial

Resumen

Veritas System Recovery está afectado por la vulnerabilidad CVE-2020-0601 de Microsoft Windows CryptoAPI.

Problema	Descripción	Gravedad	Versión reparada
1	Veritas System Recovery está afectado por la vulnerabilidad CVE-2020-0601 de Microsoft Windows CryptoAPI que tiene que ver con la verificación de certificados de firma de código de ECC.	Crítico	N/D

Problema

Descripción

Gravedad

Versión reparada

Veritas System Recovery está afectado por la vulnerabilidad CVE-2020-0601 de Microsoft Windows CryptoAPI que tiene que ver con la verificación de certificados de firma de código de ECC.

Crítico

N/D

Problemas

En febrero de 2020, Microsoft publicó un aviso de seguridad por un problema crítico en Windows CryptoAPI, según el cual un atacante podría aprovechar puntos vulnerables "usando un certificado de firma de código para firmar un ejecutable malicioso, haciendo parecer que el archivo procediera de una fuente legítima y confiable". Hay algunos casos en los cuales Veritas System Recovery (VSR) verifica certificados de firma de código y, por lo tanto, podría verse afectado por esta vulnerabilidad. Estos casos pueden ocurrir durante:

La instalación inicial del producto
La instalación de una actualización del producto
Una operación de física a virtual con VMware ESX server

Versiones afectadas

Todas las versiones de VSR están afectadas cuando se ejecutan en una versión vulnerable de Windows. Las versiones de Windows 10, Windows Server 2016 y 2019 sin parches son vulnerables. Ninguna de las otras versiones de Windows son vulnerables ante este problema.

Reparación

La única forma de reparar este problema es instalar la actualización de Windows de Microsoft que repara la vulnerabilidad. No habrá actualización de VSR para abordar este problema debido a que esta vulnerabilidad se encuentra en Microsoft Windows, no en VSR.

Mitigaciones

Los tres casos donde sucede esta vulnerabilidad pueden ser mitigados al evitar ciertas tareas:

No realizar una instalación inicial de VSR en un sistema hasta que se haya instalado la actualización de Windows.
No realizar una actualización de VSR en un sistema hasta que se haya instalado la actualización de Windows.
No realizar una operación P2V en un sistema relacionado con ESX hasta que la actualización de Windows haya sido instalada en el sistema protegido.

Los usuarios pueden continuar realizando backups y restauraciones que no sean de P2V en sistemas vulnerables sin estar en riesgo de detonar la vulnerabilidad.

Referencias

Microsoft Security Advisory para CVE-2020-0601