BROADCASTS.com

Bienvenidos nuevamente a vulnerable. Soy Bernardo López y en el episodio número 3 de Vulnerable es prácticamente mandatorio hablar de windows gracias a que en el más reciente “Patch Tuesday” de Microsoft se publicó un parche que corrige una vulnerabilidad en sus sistemas windows y el tema va a estar en boca de todos los próximos días. Suguiere temas para futuros episodios: podcast.vulnerable@gmail.com NIST ha asignado un score general de 8.1 para el riesgo de esta vulnerabilidad, y siendo la escala de NIST va del 1 al 10, algunas organizaciones están gritando “apocalipsis digital”. ¿Lo digo tan tranquilo porque en realidad el peligro es poco y no debemos actualizar con rapidez? No, en absoluto. Pero antes de entrar en un análisis técnico de la vulnerabilidad voy a comenzar con un contexto que me parece muy importante y que pocas veces en estos escenarios se presenta al público. El manejo de vulnerabilidades. Existen múltiples escenarios de como un adversario puede aprovecharse de una vulnerabilidad. El peor de ellos es cuando los adversarios son los primeros en conocer dicha falla y desarrollan un código para explotarla ya que este escenario significa que todos los sistemas afectados están a merced del atacante. Afortunadamente este no es el escenario que estamos enfrentando hoy en día. El hecho que el propio Microsoft esté publicando un parche para la vulnerabilidad quiere decir que fueron los “buenos” quienes descubrieron la falla y trabajaron con Microsoft para corregirla hasta desarrollar un parche que corrige el error. Eso quiere decir que todos los sistemas son vulnerables pero nadie sabe cómo atacarlos. “Ahhh, ¿entonces estoy seguro, puedo seguir presionando el botón de actualizar después?” No. Es importante no entrar en estados de alarma y simplemente darse el tiempo para actualizar sus sistemas lo más pronto posible. Cuando el parche de Microsoft se publica también se hace disponible para los adversarios, quienes en este momento les puedo asegurar están trabajando con ingeniería inversa sobre el mismo para lograr entender con ese trabajo en que consiste la vulnerabilidad y así desarrollar un código que la explote. El escenario se puede comparar con los sockets eléctricos. A lo mejor algún día llegaron a un país lejano y al instalarse en su hotel descubrieron que no podían cargar siquiera su celular pues los sockets eléctricos tenían una forma distinta a los que usamos en México. Pero el simple hecho de verlos les dio la información de que tipo de adaptador necesitaban comprar para poder llevar a cabo su objetivo. Buenos pues los malos están justo en ese proceso y si no actualizan sus equipos y se conoce que activamente hay un grupo criminal explotando la tan mencionada vulnerabilidad de Microsoft entonces estarán en el escenario más desfavorable que existe. Así que tomen una pausa, no necesitan dejar de escuchar Vulnerable. Solo vayan a su panel de control y busquen las actualizaciones disponibles. Ahora sí es momento en el que podemos hablar de la vulnerabilidad en sí. Esta falla en el sistema de Microsoft está presente en una librería llamada Windows CryptoAPI (Crypt32.dll). Esta librería se usa en el proceso de verificación de certificados y se utiliza mayormente en dos ocasiones: Cuando visitan un sitio HTTPs esta librería verifica que el certificado del sitio visitado sea vigente y válido. Osea que la misma es muy importante para que puedan usar de manera segura servicios como banca en línea. La librería también actúa de manera local al verificar los certificados de las aplicaciones que se instalan en el mismo, corroborando que hayan sido desarrolladas adecuadamente. Es decir que no estén instalando aplicaciones chafas que tengan una alto riesgo de traer malware como pilón a la instalación. Un adversario que logre explotar exitosamente esta vulnerabilidad sería capaz de instalar software malicioso en el equipo y engañar en el proceso a Windows para que piense que el software es de confiar. Para lograr un ataque exitoso, el adversario tendría que llevar a cabo otras tareas además de crear un certificado apócrifo pero que aproveche de esta vulnerabilidad. También tendría que diseñar etapas posteriores para hacer llegar la aplicación apócrifa al sistema que pretende comprometer. Tal vez incluyendo técnicas de ingeniería social para engañar primero al usuario y que descargue el software malicioso o que visite un sitio controlado por el propio atacante. Como cualquier ataque el objetivo para contenerlo es poder romper cualquier eslabón de la cadena de ataque. Para este en particular es muy importante que se descargue y se aplique el parche y para mejorar la postura de seguridad en cualquier organización ante cualquier riesgo es importante también que los usuarios estén capacitados y empoderados para poder sospechar y descartar cualquier mensaje o USB “extraviada” que los invite a instalar un nuevo plugin o un antivirus falso o que los lleve a visitar un sitio falso. Y tomen estas medidas sin pánico, pero con la debida importancia. Recuerden que el tiempo en el que escucharon este episodio de Vulnerable fue tiempo en el que los adversarios están buscando una forma de explotar esta vulnerabilidad y ellos tienen toooodo el tiempo del mundo para lograr ese objetivo. Referencias: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601