WinShock: vulnerabilidad crítica en todos los Windows recién parcheada

La semana pasada Microsoft publicó los habituales boletines mensuales de seguridad y sus correspondientes parches. Entre todas las vulnerabilidades solucionadas destacaba la encontrada en el paquete de seguridad Secure Channel (Schannel), vulnerabilidad bautizada como WinShock y que permite la ejecución remota de código en todas las versiones de Windows. Esta vulnerabilidad fue calificada como “crítica”.

¿Qué es Schannel?

Schannel es el encargado de implementar los protocolos de autenticación en Internet SSL y TLS. Estos componentes se usan para realizar comunicaciones seguras en aplicaciones de Internet y red, como la navegación web, por lo que Schannel es parte de un paquete de seguridad que ayuda a proveer un servicio de autenticación y, con eso, comunicaciones seguras entre cliente y servidor.

El agujero de seguridad, solucionado en el parche “MS14-066″, afectaba a cualquier sistema Windows desde Windows 95 hasta Windows 8.1 (Win RT incluido). En líneas generales, se trata de una vulnerabilidad que podría permitir acceso remoto a un sistema para ejecutar código si un atacante enviara paquetes modificados de forma especial a un servidor de Windows.

“Tras aprovechar una vulnerabilidad que permite la ejecución remota de código, un atacante puede enviar comandos que van a permitirle modificar información, copiar y ejecutar archivos, extraer datos y cualquier otro tipo de comando que el atacante busque emplear. Dependiendo del tipo de vulnerabilidad y el exploit utilizado, el atacante puede incluso hacer capturas de pantalla y manejar todos los periféricos del dispositivo de su víctima”, explica Camilo Gutiérrez Amaya, Senior Security Researcher de ESET Latinoamérica. De esta forma, vemos el impacto que podría tener a mayor escala, de ser explotada, una vulnerabilidad como la parcheada por Microsoft.

Orígenes y persistencia de esta vulnerabilidad

Los investigadores del equipo IBM X-Force informaron a Microsoft de esta vulnerabilidad en mayo de este año y, tras las investigación pertinentes, Microsoft ha declarado que no tiene constancia de que la vulnerabilidad haya sido explotada o usada públicamente para atacar a clientes o usuarios, por lo que parece que se ha solucionado a tiempo.

Resulta especialmente llamativo que esta vulnerabilidad haya permanecido escondida tanto tiempo. Esto demuestra que, a pesar de las revisiones constantes que se hacen del código fuente de las aplicaciones y sistemas operativos, siempre hay algo que se puede escapar a la vista, incluso por casi dos décadas.

Si nos fijamos en el código original de Windows 95 ya encontramos este problema. Con el lanzamiento de Internet Explorer 3.0 se habilitó la posibilidad de explotar la vulnerabilidad de forma remota gracias a que se introdujo Visual Basic Script. Otras aplicaciones han podido estar utilizando el código vulnerable durante todos estos años aunque el navegador de Microsoft lo hacía el candidato ideal para sufrir un ataque.

Mitigación de esta vulnerabilidad

Desde que se conoció esta vulnerabilidad y su alcance, muchos de los investigadores nos preguntamos cuánto tiempo pasaría hasta que hubiese un exploit público que la aprovechase. Hasta ahora no hemos visto que haya aparecido este exploit pero estamos seguros que se está trabajando en él y no tardaremos en ver avances.

Obviamente, la solución pasa por aplicar las actualizaciones que publicó Microsoft la semana pasada aunque es posible que hayan muchos sistemas que no puedan actualizarse o, por lo menos, no de forma tan rápida como sería recomendable, hasta que se haya comprobado que no afecta a la estabilidad de sistemas críticos.

Créditos imagen: ©Rasmus Olsen/Flickr

Josep Albors