¿Windows-10 bajo presión?… Revelan GRAVE vulnerabilidad

Un investigador de seguridad que forma parte del equipo del “Proyecto Cero” de Google encargado de detectar las vulnerabilidades de día cero, ha publicado una vulnerabilidad explotable de Windows que Microsoft todavía está en proceso de corregir.

0

Tavis Ormandy ha tuiteado que había descubierto un problema de seguridad con el núcleo de la biblioteca criptográfica para Windows, revelando que, “Microsoft se comprometió a arreglarlo en 90 días, y luego no lo hizo”.

Como resultado de no cumplir con el plazo del Proyecto Cero para solucionar estos problemas, que en parte está diseñado para fomentar la aplicación de más recursos a la seguridad del software, Ormandy continuó diciendo:

“Hoy es el día 91, por lo que el problema es ahora público”.

¿Cuál es la vulnerabilidad en cuestión?

En realidad es un error dentro de SymCrypt, la biblioteca criptográfica principal responsable de implementar algoritmos criptográficos asimétricos en Windows 10 y algoritmos criptográficos simétricos en Windows 8. Lo que Ormandy encontró fue que usando un certificado digital malformado podía forzar los cálculos de SymCrypt en un bucle infinito. Esto realizará un ataque de denegación de servicio (DoS) en servidores Windows como los que ejecutan los protocolos IPsec que se requieren cuando se utiliza una VPN o Microsoft Exchange Server para correo electrónico y calendarios, por ejemplo.

Ormandy también señala que “muchos de los programas que procesan contenidos no confiables (como los antivirus) llaman a estas rutinas en datos no confiables, y esto causará que se bloqueen”. A pesar de esto, lo calificó como una vulnerabilidad de baja severidad al tiempo que agregaba: “Podrías derribar una flota entera de Windows con relativa facilidad, así que vale la pena ser consciente de ello”. El aviso que Ormandy ha publicado ofrece detalles de la vulnerabilidad, así como una prueba de concepto en forma de un certificado malformado de ejemplo que causaría la denegación de servicio.

¿Por qué se ha publicado ahora esta vulnerabilidad?

Como ya se ha mencionado, el Proyecto Cero tiene un plazo de divulgación de 90 días y esto se aplicó a esta vulnerabilidad. Fue reportado por primera vez por Ormandy el 13 de marzo, luego el 26 de marzo Microsoft confirmó que emitiría un boletín de seguridad y lo arreglaría en la corrida del martes 11 de junio. Ormandy señaló que, “Lo cuento como 91 días, pero dentro del período de prórroga, así que es aceptable”. El período de extensión es el que permite a las empresas que tienen programas de parches fijos como Microsoft.

El 11 de junio, Ormandy declaró que el Centro de Respuesta de Seguridad de Microsoft (MSRC, por sus siglas en inglés) se había “puesto en contacto y notado que el parche no se enviará hoy y que no estaría listo hasta la versión de julio debido a problemas encontrados en las pruebas”. Como eso significaba que los 91 días habían terminado, Ormandy hizo pública la vulnerabilidad.

¿Qué piensa la comunidad de seguridad en general?

Me acerqué a The Beer Farmers, un grupo muy respetado de profesionales de la seguridad de la información que fue visto por última vez en el escenario en la reciente conferencia de BSides en Londres para conocer su opinión al respecto. John Opdenakker dice, “en general, si usted revela en privado una vulnerabilidad a una compañía y la compañía está de acuerdo en arreglarla dentro de un período de tiempo razonable, creo que es justo revelarla públicamente si luego no la arreglan a tiempo”. Mientras que Mike Thompson no está de acuerdo, diciéndome, “si el vendedor ha reconocido el error y se ha comprometido a arreglarlo con un plan, pero requiere más tiempo, entonces hacer una revelación completa no sería un movimiento que yo haría”. Ian Thornton-Trump está de acuerdo y dice, “este es el tipo de actividad que Google Proyecto Cero ha perdido mucha credibilidad con Adobe y Microsoft en el pasado”.

Dejaré la última palabra a Sean Wright, quien señala que se trata de una vulnerabilidad de negación de servicio y que hay muchas otras maneras de lograrlo, lo que lo convierte en un problema de baja gravedad. “Personalmente creo que es un poco duro”, dice Wright, “cada arreglo es diferente y deben permitir cierta flexibilidad en sus plazos”.

NOTA DEL EDITOR:

Mi Punto de Vista

Puedo ver el valor de tener una fecha límite de revelación que ejerce presión sobre las organizaciones para que solucionen rápidamente las vulnerabilidades de seguridad.

Después de todo, hay demasiados casos de vulnerabilidades que se dejan ahí fuera años después de que los investigadores las hayan revelado. Hay que decir que Google no puede escapar a las críticas por pertenecer a esta categoría.

Mientras que productos como Chrome se actualizan de forma continua “según sea necesario” cuando se detectan y corrigen vulnerabilidades, no se puede decir lo mismo de todos los productos de Google. El problema de seguridad de Gmail y Google Calendar sobre el que escribiré mañana es un buen ejemplo. Esto fue reportado por primera vez a Google en 2017, pero sigue siendo un problema de seguridad hoy en día.

Sin embargo, volviendo a este problema de Microsoft Windows, se puede argumentar que el plazo de 90 días del Proyecto Cero es tiempo suficiente para que una organización bien dotada de recursos de este tamaño realice una corrección y aplique todas las pruebas necesarias para garantizar que funciona sin afectar a los usuarios de otras maneras.

¿Necesito recordarle que Microsoft ha tenido mucha mala prensa bien merecida recientemente, cortesía de actualizaciones y parches que han causado que Windows 10 se congele o incluso rompa otras características de seguridad de Windows?

En este contexto, es comprensible que Microsoft quiera hacerlo bien antes de publicar la corrección. Así que sí, creo que hubo mucho tiempo para clasificar y probar el problema, pero si Microsoft necesitaba un poco más para tratar los problemas que surgieron durante ese proceso de pruebas, entonces no creo que sea del todo irrazonable, en este caso en particular, ser un poco más flexible.

En última instancia, sin embargo, ¿dónde deja todo esto al usuario? Sean Wright explica que para explotar esto un atacante necesitaría que la máquina víctima se conectara al sistema de ataque. Así que o bien consigues que el servidor se conecte al sistema de ataque de alguna manera, lo cual es extremadamente difícil en la práctica. O realizar un ataque de hombre en el medio (man-in-the-middle), que de nuevo es bastante difícil en la práctica. “No es algo por lo que perdería el sueño”, concluye Wright….

Tanto Tavis Ormandy como Microsoft han sido contactados para recibir comentarios adicionales sobre esta historia.

El sitio web Prensa Objetiva utiliza cookies como parte funcional de la misma, recabamos dicha información de forma anónima y únicamente con el fin de darle un funcionamiento correcto al sitio web. Asumimos que estás de acuerdo con ello, pero de no estarlo puedes abandonar la página o puedes darle Click al botón de aceptar, y continuar disfrutando del contenido que te ofrecemos. Aceptar Leer T&C

Do NOT follow this link or you will be banned from the site!