Los boletines de seguridad de Microsoft publicados este mes de febrero tienen un protagonista indiscutible: Internet Explorer. De las 56 vulnerabilidades corregidas, 41 pertenecen al veterano navegador de Microsoft y, aun así, no se ha corregido una vulnerabilidad presentada el 31 de enero que permitiría realizar ataques de cross-site scripting (XSS).
Solucionando fallos en Internet Explorer
Microsoft no publicó actualizaciones para Internet Explorer el pasado mes de enero, por lo que la acumulación de vulnerabilidades durante los últimos meses y el trabajo de los investigadores del Project Zero de Google ha “forzado” que se lancen tantos parches de seguridad para el navegador.
La mayoría de vulnerabilidades solucionadas en Internet Explorer consistían en corrupciones de memoria que permitirían saltarse mecanismos de defensa del sistema operativo como ASLR o ganar privilegios en el sistema afectado.
Además de solucionar estos fallos, Microsoft ha anunciado la publicación de un parche para Internet Explorer que evita que ataques como los descritos tras la publicación de la vulnerabilidad Poodle funcionen en el navegador. También se avisó que desactivaría el uso de SSL 3.0 por defecto en Internet Explorer a partir de abril.
Asimismo, otro de los boletines de seguridad soluciona seis vulnerabilidades, incluyendo una de las que publicó Google y que afectaba al driver del modo de kernel de Windows. Esta vulnerabilidad podría ser aprovechada por atacantes para, utilizando un documento especialmente modificado o una web con fuentes de letra TrueType, explotar remotamente este agujero de seguridad.
Sin embargo, no se ha publicado ningún parche para la vulnerabilidad XSS que se desveló a finales de enero. Recordemos que este tipo de vulnerabilidades permite la introducción de código HTML en formularios web, modificando su apariencia original. También es posible introducir scripts en campos que se graben en la base de datos para, posteriormente, ejecutarlos en el navegador al visitar la web vulnerada.
Solución a JASBUG
Otro de los protagonistas de los boletines de seguridad de febrero es JASBUG, una vulnerabilidad presente durante más de 15 años y que le ha costado a Microsoft varios meses para solucionarla, pero dejando de lado sistemas que aun cuenta con un buen número de usuarios como Windows XP o Windows Server 2003.
Esta vulnerabilidad permitiría a un atacante secuestrar un sistema Windows configurado como dominio si se conecta a una red maliciosa, ya sea una red inalámbrica o cableada. Esto le permitiría realizar acciones como instalar programas, borrar o modificar datos de los usuarios o dar de alta nuevos usuarios con unos permisos elevados.
También es cierto que el número de posibles usuarios afectados es reducido y no debería afectar a los usuarios domésticos ya que es raro que tengan su sistema configurado cómo un dominio pero puede traer de cabeza a todos aquellos que se conectan a sus redes corporativas a través de Directorio Activo.
El mayor peligro se encuentra en la posibilidad de permitir a un atacante de monitorizar el tráfico de red que se transmite desde el usuario a la red del Directorio Activo para lanzar un ataque Man-in-the-Middle que permitiría ejecutar código malicioso en sistemas vulnerables.
Google vs Microsoft
Sin duda, el Project Zero de Google ha supuesto un antes y un después en cuanto a la publicación de vulnerabilidades se refiere. No es que hasta su aparición no existieran grupos de investigadores que se dedicasen a buscar vulnerabilidades y comunicarlas a los fabricantes o a otras empresas que les pagasen por ello. De hecho, cada vez había más. Pero un gigante como Google juega con ventaja y no solo porque puede permitirse contratar a investigadores de primer nivel como George “GeoHot” Hotz o Tavis Ormandy, entre otros.
La capacidad de Google para investigar nuevas vulnerabilidades y publicarlas, dando un tiempo de margen a los fabricantes, excede todo lo que hemos conocido hasta ahora y no son pocos los que afirman que el plazo de 90 días de margen para corregir errores es insuficiente. El caso es que a muchos fabricantes no les ha sentado nada bien la irrupción de Google y no nos referimos únicamente a Microsoft. Apple también vio cómo se publicaban tres vulnerabilidades por parte de Google a finales de enero y no serán los únicos.
¿Estamos ante una guerra declarada entre estos gigantes? Es difícil de decir pero también es verdad que, si se hace de forma responsable, los usuarios podemos salir ganando al ejercerse más presión hacia los fabricantes para que solucionen los fallos de seguridad de sus sistemas lo antes posible.
Conclusión
Sinceramente, no pensamos que Microsoft cambie a corto plazo su política de publicación mensual de boletines de seguridad, salvo que haya una vulnerabilidad crítica que requiera del lanzamiento de un parche lo antes posible. Sin embargo, la entrada de Google en el mundo de la investigación y publicación de nuevas vulnerabilidades supone un cambio y, en definitiva, un apoyo a todos aquellos que se dedican a estos menesteres.