Este jueves Microsoft liberó una actualización para Windows 10 y Server 2016 después de que la Agencia Nacional de Seguridad (NSA por sus siglas en inglés) diese a conocer una falla de seguridad gravísima en el software de la empresa.
La falla se encontraba en el sistema de verificación de seguridad de Windows, la cual confirmaba la legitimidad de otros softwares y establecía conexiones seguras a la web. Específicamente, el error estaba en el servicio CryptoApi de Windows, que permite a desarrolladores "firmar" criptográficamente sus softwares y datos o generar certificados de autenticación digital, para demostrar confiabilidad y validez cuando Windows los revisa en dispositivos de los usuarios.
Si la misma verificación no era confiable, atacantes podían aprovecharse de la falla y distribuir malware de manera remota o interferir con información. Incluso podrían explotar el bug para socavar protecciones importantes y finalmente tomar control del dispositivo de la víctima.
"Recomendamos que cualquier persona propietaria de redes sean rápidas en implementar el parche, como nosotros también lo estaremos haciendo" dijo Anne Neuberger, la cabeza del Directorio de Ciberseguridad de la NSA. "Cuando identificamos una gran vulnerabilidad criptográfica como esta, nos apresuramos en trabajar con la compañía para mitigar el problema".
"Piensa en el bug como si un malware firmara algo, como si fuera algo chequeado y verificado por Microsoft y nunca lo fue" explicó David Kennedy, presidente de TrustedSec y ex empleado de la NSA. "Así podrían burlar muchos sistemas de protección".
Mientras tanto investigadores como cibercriminales estudian la vulnerabilidad y se apresuran por desarrollar una herramienta de hackeo que tome ventajas de este, los riesgos para los usuarios se vuelven mucho mayores. Pero una falla tan grave como esta es ciertamente problemática, especialmente debido a que Windows 10 es el sistema operativo más usado en el mundo, al estar instalado en 900 millones de dispositivos.
La decisión de la NSA por revelar la falla hace recordar la propia herramienta de la institución llamada Eternal Blue, la cual fue erradicada por Windows en el 2017. La herramienta de hackeo estaba presente en todas las versiones disponibles del sistema operativo y la NSA estaba consciente de esto, ya que utilizó el bug que crearon para realizar espionaje digital por cinco años.
Finalmente perdieron el control de Eternal Blue, ya que se filtró entre cibercriminales a mano de Shadows Brokers, y estos la utilizaban para robar información de los usuarios. Windows tuvo que crear una actualización a tiempo récord para eliminar el bug.
Este paso de la NSA de revelar el bug de Windows y trabajar con la empresa para solucionarlo, muestra que la institución norteamericana está haciendo esfuerzos para evitar una situación similar a la de Eternal Blue.
Vía Wired.