Esta semana, Microsoft se vio obligado a corregir rápidamente un error de seguridad en Windows 10 y Windows Server 2016/2019 que podría haber permitido a los atacantes falsificar certificados de seguridad legítimos para tomar el control de una PC infectada. Se instó a Microsoft a actuar después de que la NSA descubriera e informara en privado del error, que era evidencia de una falla grave en la forma en que las últimas versiones de Windows y Windows Server verifican la validez de ciertos certificados de seguridad.

Al lanzar el parche el 14 de enero como parte de su línea mensual Patch Tuesday, Microsoft calificó el parche como una actualización "importante" en lugar de una actualización "crítica", probablemente porque la compañía dijo que no podía encontrar ningún ejemplo real. donde se había explotado la vulnerabilidad.

VER: Los 10 principales ciberataques de la década (PDF gratuito) (República Tecnológica)

Pero ahora, un investigador de seguridad ha demostrado cuán explotable puede ser la falla en el mundo real.

Dentro un tuit del miércoles del investigador Saleem Rashid, mostró imágenes de su explotación del error en Google Chrome y Microsoft Edge. Las imágenes muestran a Rashid usando un proceso conocido como 'rickrolling', que enlaza con un sitio web supuestamente legítimo pero en realidad redirige al usuario a un video musical de la canción del cantante Rick 'Never Gonna Give You Up' Astley. El proceso se utiliza para mostrar cómo se puede engañar a alguien para que haga clic en un enlace que lleva a un lugar inesperado y potencialmente malicioso.

La vulnerabilidad de Windows, que ha sido etiquetada como CVE-2020-0601, permitiría a alguien falsificar un certificado de seguridad legítimo, lo que podría hacer que un sitio malicioso parezca confiable debido al certificado falso. Específicamente, la vulnerabilidad es el resultado de una falla en la criptografía de curva elíptica (ECC) utilizada por Microsoft en su código para Windows 10 y Windows Server 2016 y 2019.

Durante su prueba, Rashid pudo aprovechar la vulnerabilidad al inventar un código para crear certificados de seguridad falsos para falsificar sitios web seguros y verificados de Github y la Agencia de Seguridad Nacional. Sin el parche de Microsoft, la vulnerabilidad se puede explotar en Chrome, Edge e Internet Explorer, pero aparentemente no en Firefox.

Un portavoz de Google ha confirmado que los usuarios de Chrome están protegidos por el último parche de Microsoft, pero que Google está implementando una actualización de su navegador para hacerlo más seguro.

"Lo que acaba de demostrar Saleem es: con [a short] script, puede generar un certificado para cualquier sitio web, y es totalmente confiable en IE y Edge con solo la configuración predeterminada para Windows”, dijo Kenn White, investigador y gerente de seguridad de MongoDB, a Ars Technical. “Es bastante horrible. Esto afecta a las puertas de enlace VPN, VoIP, básicamente cualquier cosa que utilice comunicaciones de red.

Si se explota, el error podría permitir que un atacante realice ataques Man-in-the-Middle, intercepte y falsifique conexiones HTTPS, firmas falsas para archivos y correos electrónicos, y código ejecutable firmado falso lanzado dentro de Windows.

Hasta el momento, Rashid no ha publicado el código que usó para explotar la falla. Sin embargo, otros se han subido a este carro. La empresa de seguridad Kudelski Security publicó el código a través de GitHub, mientras que un investigador de seguridad danés llamado Ollypwn hizo lo mismo. En una publicación de blog, Kudelski Security explicó por qué lanzó el código públicamente y cómo funcionaría para explotar la vulnerabilidad.

VER: Política de gestión de parches (Premium de TechRepublic)

En el lado positivo, Kudelski Security también dijo que explotar la falla no es algo que el pirata informático o ciberdelincuente promedio pueda lograr.

“En última instancia, tenga en cuenta que no es probable que dicha vulnerabilidad sea explotada por script kiddies o ransomware”, dijo la empresa de seguridad. “Si bien esto sigue siendo un gran problema, ya que podría haber permitido un ataque Man-in-the-Middle contra cualquier sitio web, tendría que lidiar con un adversario que es dueño de la red en la que está operando, esto es posible para la nación. adversarios estatales, pero menos para un guión infantil.

"Es por eso que estamos lanzando este PoC [Proof of Concept], la capacidad de explotación de esta vulnerabilidad no es lo suficientemente buena como para generar una amenaza repentina de ransomware (a diferencia de la que tuvimos con Wannacry)”, agregó Kudelski Security. "Probablemente también sea por eso que la NSA decidió no convertir su descubrimiento en un arma, sino más bien divulgarlo: para ellos, es mejor tener a Estados Unidos parcheado que mantenerlo y correr el riesgo de que se use contra Estados Unidos". , porque la superficie de ataque es muy amplia.

En última instancia, sin embargo, la mejor defensa es actualizar las PC y servidores Windows afectados con el parche de Microsoft para garantizar que esas máquinas estén completamente protegidas contra esta última amenaza.

Imagen: Getty Images/iStockphoto