Windows 10 tiene una falla de seguridad tan grave que la NSA reveló Eso

Microsoft lanzó hoy un parche para Windows 10 y Server 2016 después de que la Agencia de Seguridad Nacional descubriera y revelara una vulnerabilidad grave. Es un aviso infrecuente, pero no sin precedentes, que subraya la gravedad de la falla y tal vez insinúa nuevas prioridades para la NSA.

El error está en el mecanismo de Windows para confirmar la legitimidad del software o establecer conexiones web seguras. Si la verificación de verificación en sí misma no es confiable, los atacantes pueden explotar ese hecho para distribuir remotamente malware o interceptar datos confidenciales.

“[Estamos] recomendando que los propietarios de la red aceleren la implementación de el parche inmediatamente como también lo haremos nosotros”, dijo Anne Neuberger, directora de la Dirección de Ciberseguridad de la NSA, en una llamada con reporteros el martes. “Cuando identificamos una amplia vulnerabilidad criptográfica como esta, rápidamente trabajamos con la compañía para asegurarnos de que pudieran mitigarla”.

La falla está específicamente en el servicio CryptoAPI de Microsoft, que ayuda a los desarrolladores a “firmar” criptográficamente software y datos o generar certificados digitales utilizados en autenticación: todo para demostrar confiabilidad y validez cuando Windows lo verifica en los dispositivos de los usuarios. Un atacante podría explotar el error para socavar protecciones cruciales y, en última instancia, tomar el control de los dispositivos de las víctimas.

“Piense en firmar malware como si fuera de confianza de Microsoft o interceptando tráfico web encriptado”, dice David Kennedy, CEO de la firma de evaluación de seguridad corporativa TrustedSec, que anteriormente trabajó en la NSA “Eso evadiría por completo tantas protecciones”.

A medida que los investigadores y los ciberdelincuentes estudien la vulnerabilidad y se apresuren a desarrollar una herramienta de piratería que la aproveche, la escala del riesgo para los usuarios será más clara. Pero una falla en un componente criptográfico crucial de Windows es ciertamente problemática, especialmente dado que Windows 10 es el sistema operativo más utilizado en el mundo, instalado en más de 900 millones de PC.

“Este es un componente básico de bajo nivel del sistema operativo Windows y establece confianza entre los administradores, los usuarios habituales y otras computadoras tanto en la red local como en Internet”, dice Kenn White, director de seguridad en MongoDB y director del Open Crypto Audit Project. “Si la tecnología que asegura que la confianza es vulnerable podría haber consecuencias catastróficas. Pero precisamente qué escenarios y condiciones previas se requieren, aún estamos analizando. Será un día largo para muchos administradores de Windows en todo el mundo”.

La decisión de la NSA de compartir la vulnerabilidad recuerda la herramienta de piratería de la NSA conocida como Eternal Blue , que explotó un error de Windows parcheado a principios de 2017. Esa falla estaba presente en todas las versiones de Windows disponible en ese momento, y la NSA sabía sobre el error, y lo explotó para el espionaje digital, durante más de cinco años. Finalmente, la NSA perdió el control de Eternal Blue; Unas semanas después de que Microsoft publicara una solución, un misterioso grupo de piratería conocido como Shadow Brokers filtró la herramienta en línea . Tanto los delincuentes como los piratas informáticos de los estados nacionales tuvieron un día de campo con la herramienta, ya que las máquinas Windows de todo el mundo comenzaron a parchear lentamente.

El error de validación de Windows 10 puede ser el intento de la NSA de evitar una debacle similar. Y a diferencia de Eternal Blue, Neuberger hizo un punto para decir que la agencia no había utilizado el exploit en sí.

De hecho, Neuberger dijo que divulgar el error de verificación de código a Microsoft y al público es parte de una nueva iniciativa de la NSA en la que la agencia compartirá sus hallazgos de vulnerabilidad más rápidamente y con mayor frecuencia. El esfuerzo funcionará junto con el Vulnerability Equities Process existente administrado por el Consejo de Seguridad Nacional, que sopesa la importancia de la seguridad nacional de mantener en secreto las herramientas de piratería en lugar de revelar vulnerabilidades.

Es por eso que la NSA no solo reveló la vulnerabilidad, sino que hizo pública su función. “Es difícil para las entidades confiar en que realmente nos tomamos esto en serio”, dijo, “y [que] garantizar que las vulnerabilidades puedan mitigarse es una prioridad absoluta”.

 

Lily Hay Newman es escritora sénior en WIRED centrada en seguridad de la información, privacidad digital y piratería. Anteriormente trabajó como reportera de tecnología en la revista Slate y fue escritora de Future Tense, una publicación y proyecto de Slate, la Fundación New America y la Universidad Estatal de Arizona. Además … Leer más