La semana pasada, ocurrieron tres eventos interesantes en el campo de la seguridad de la información a la vez: se cerró la vulnerabilidad explotada en Whatsapp, se lanzaron parches para vulnerabilidades críticas en Windows, incluso para versiones de SO no compatibles, e Intel encontró otro problema similar a Spectre. Comencemos con una vulnerabilidad en el componente Servicios de escritorio remoto (
noticias , publicación de blog de Microsoft). Los detalles técnicos de la vulnerabilidad no fueron revelados, pero se sabe que el error le permite obtener el control del sistema utilizando el protocolo RDP sin autorización.
Las vulnerabilidades se ven afectadas por Windows 7 y Windows 2008 Server, así como por Windows XP y Windows 2003 Server no compatibles. El artículo de Brian Krebs
señala la similitud de la vulnerabilidad con el error
EternalBlue en el protocolo SMB, que en 2017 condujo a una epidemia a gran escala del troyano de ransomware WannaCry. En este caso, el atacante puede obtener acceso a cualquier sistema no parcheado al que se pueda acceder mediante el protocolo RDP y, a través de él, difundir el ataque a otras computadoras en la red local. A pesar del lanzamiento rápido del parche, lo más probable es que sigamos escuchando sobre las consecuencias del uso de este error.
Para reducir la probabilidad de un ataque a gran escala, Microsoft lanzó parches para Windows XP y 2003 Server, que ya no son oficialmente compatibles con la compañía. El 14 de mayo, Microsoft cerró varias vulnerabilidades más, incluido el error crítico
CVE-2019-0863 en el sistema de informe de errores de Windows. A diferencia del problema en RDP, esta vulnerabilidad afecta a las versiones modernas del sistema operativo hasta Windows 10 y puede usarse para escalar privilegios. Esta vulnerabilidad es explotada activamente por los cibercriminales.
El incidente más discutido de la semana pasada fue el informe de una grave vulnerabilidad en el mensajero de Whatsapp (
noticias ). La actualización de Whatsapp para Android e iOS
el 13 de mayo cerró la vulnerabilidad
CVE-2019-3568 . Curiosamente, en el anuncio de la nueva versión para Android, el cambio principal no fue en absoluto un parche, sino "visualización de adhesivos a pantalla completa":
En la discusión, se observó que los usuarios comunes tienen más probabilidades de actualizar al cliente debido a las etiquetas adhesivas, y pocas personas piensan en la seguridad hasta ahora. Check Point Software analizó el parche y
encontró un par de nuevas verificaciones sobre el tamaño del paquete del protocolo SRTCP utilizado para la telefonía por Internet. Aparentemente, la ausencia de estas comprobaciones provocó un desbordamiento del búfer. Pero lo que sucedió después: nadie lo sabe, solo podemos asumir que tenemos el control sobre la aplicación y la filtración de los datos. Pero se habló mucho sobre la fuente de la hazaña.
Según el Financial Times, la explotación activa del exploit se observó simultáneamente en Facebook (el actual propietario del mensajero) y en la organización de derechos humanos Citizen Lab. Este último fue contactado por un abogado británico que recibió varias llamadas de video de números desconocidos en un teléfono Apple con un mensajero instalado. Para aprovechar la vulnerabilidad, debe enviar un paquete de datos especialmente preparado al destinatario, que el cliente de WhatsApp percibe como una videollamada. No hay necesidad de contestar la llamada. Según el Financial Times, la vulnerabilidad fue encontrada por el Grupo NSO, que se especializa en vender exploits a agencias gubernamentales y servicios especiales. Fue posible identificar al desarrollador por metadatos.
Un desarrollo interesante de la historia fue la publicación del fundador del mensajero de Telegram Pavel Durov (
original ,
traducción en Habré), titulado "Por qué WhatsApp nunca estará a salvo". Cuán seguro es el propio Telegram, también un tema de discusión, tanto técnico como emocional. Pero ese no es el punto: la publicación de Durov es un ejemplo de cómo la seguridad se está convirtiendo en una herramienta publicitaria. Una ventaja (real o imaginaria) que considera importante una parte significativa del público objetivo. Esta es una buena noticia: si los jugadores del mercado de alguna manera tienen que anunciar que sus servicios están protegidos contra la piratería, tarde o temprano
realmente tendrán que
hacer algo en esta dirección .
Completaremos la revisión de noticias con cuatro nuevos ataques en canales de terceros (
noticias ). Se encontraron vulnerabilidades correspondientes en los procesadores Intel; se descubrieron durante las verificaciones internas en la propia empresa (un artículo detallado en el sitio web de
Intel ), así como en investigadores de una universidad técnica en Graz en Austria (minisitio con una URL "parlante"
cpu.fail ).
Investigadores independientes identificaron cuatro vectores de ataque, y para cada uno delinearon un escenario realista para obtener cualquier información de interés para el atacante. En el caso de un ataque Zombieload, este es el historial de las páginas visitadas en el navegador. El ataque RIDL le permite extraer secretos de aplicaciones que se ejecutan en el sistema o máquinas virtuales. El ataque Fallout solo puede amplificar otros ataques, recibiendo información sobre la lectura de datos previamente escritos en la memoria por el sistema operativo. Finalmente, el método de reenvío de almacenamiento a fuga se puede utilizar teóricamente para evitar ASLR.
Intel está tratando de no adoptar los nombres creativos (y un poco atemorizantes) de los ataques y llamarlos muestreo de datos microarquitectónicos complejos. La técnica MDS permite que un proceso local lea datos inaccesibles de la memoria utilizando el mismo método de ataques en canales de terceros que la familia Specter descubierta anteriormente. Intel promete cerrar las vulnerabilidades en las próximas revisiones de procesadores, y las CPU de las generaciones 8 y 9 no se ven parcialmente afectadas por este ataque. Se lanzará una actualización de microcódigo para los procesadores restantes, y para mayor seguridad de la amenaza (hasta ahora teórica), como de costumbre, tendrá que pagar una
caída en el rendimiento .
Según Intel, esto es un pequeño porcentaje, pero aquí el hecho de determinar el precio de seguridad es interesante, que todos tenemos que pagar.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.