Vulnerabilidad en Windows publicada por Google utilizada en ataques dirigidos

fancy_bear

No cabe duda de que Google le dio un buen susto a Microsoft el pasado 31 de diciembre, festividad de Halloween, publicando los detalles de una grave vulnerabilidad en el kernel de Windows. Según indican en el escueto post hablando de esta vulnerabilidad, Google tomó la decisión de hacer públicos los detalles debido a que habría observado como estaba siendo explotada.

Poco tiempo para solucionarla

Siempre es bueno que se descubran este tipo de vulnerabilidades, para así poder tomar medidas para mitigar sus efectos o aplicar los parches de seguridad tan pronto como estos se encuentren disponibles. Sin embargo, Microsoft se ha quejado del poco tiempo del que ha dispuesto desde que Google le avisó de la vulnerabilidad el pasado 21 de octubre hasta que esta se hizo pública el día 31.

Para algunas empresas, 10 días para solucionar una vulnerabilidad de este tipo pueden parecer pocos pero es lo que Google estipula como adecuado para poder arreglar un fallo grave que está poniendo en riesgo la seguridad de muchos usuarios. De hecho, el mismo día 21, Google también avisó a Adobe sobre fallos de seguridad en Flash y esta empresa publicó los correspondientes parches de seguridad apenas 5 días después.

No obstante, Microsoft ha declarado que el tiempo proporcionado por Google antes de hacer pública esta vulnerabilidad ha sido demasiado poco y también ha publicado un artículo en su blog indicando que los usuarios que estén utilizando el navegador Edge en Windows 10 Anniversary no se ven afectados por los ataques detectados que están aprovechando esta vulnerabilidad.

Vulnerabilidad explotada en ataques dirigidos

El motivo principal por el cual se le ha dado tan poco tiempo a Microsoft para solucionar esta vulnerabilidad es porque Google detectó que estaba siendo aprovechada por grupos de delincuentes en ataques dirigidos. Concretamente, Google se estaría refiriendo al grupo Fancy Bear (o STRONIUM según Microsoft), responsables de filtrar información de miembros del partido demócrata de EEUU o de atletas olímpicos que compitieron en los juegos de Rio.

Este grupo ha demostrado disponer de una capacidad operativa muy elevada e incluso algunas fuentes se atreven a indicar que este grupo estaría relacionado directamente con el gobierno ruso. Sin embargo, este punto no se puede demostrar del todo puesto que no hay pruebas concluyentes para establecer un vínculo directo, más allá de que los atacantes parecen defender los intereses rusos.

Según Microsoft este grupo habría estado aprovechándose de la vulnerabilidad en el kernel de Windows y en Adobe Flash para conseguir éxito en sus ataques. Así pues, los atacantes deberían primero explotar la vulnerabilidad en Flash para tomar el control del navegador. Seguidamente aprovecharían la vulnerabilidad en el kernel de Windows para salir del sandbox del navegador para, finalmente, instalar un backdoor que permita el acceso remoto al sistema de la víctima.

Los sistemas afectados serían todos los Windows entre Vista y Windows 10 Anniversary, aunque, poco antes de tener noticias de esta vulnerabilidad, Microsoft introdujo nuevas características de seguridad en Windows 10 Anniversary que permiten detectar y bloquear este tipo de ataques.

Como protegernos de estos ataques

Como acabamos de ver, la pelota está en el tejado de Microsoft y, hasta que no publiquen el correspondiente parche de seguridad, los usuarios van a tener que tener mucho cuidado. Sin embargo, sabiendo cómo funcionan este tipo de ataques se pueden tomar medidas preventivas para bloquearlos:

  • Actualizar Adobe Flash a la versión más reciente, puesto que soluciona la vulnerabilidad utilizada en primera instancia para conseguir tomar el control del navegador. Otra opción es desinstalar Flash para evitar esta y otras vulnerabilidades futuras.
  • Actualizar a Windows 10 Anniversary. La versión más moderna del sistema operativo de Microsoft incorpora medidas de seguridad que ayudan a mitigar estos ataques por lo que es un buen momento para considerar una actualización de nuestro sistema operativo.
  • Contar con una solución antivirus. Los sistemas de seguridad pueden ser capaces de detectar este tipo de ataques e incluso Windows Defender cuenta con la capacidad de detectar ataques dirigidos en diferentes fases del ataque.

De cualquier forma, el debate acerca del tiempo que se le debe otorgar a un fabricante entre que se le comunica una vulnerabilidad y se publica el correspondiente parche de seguridad sigue abierto ya que existen posturas enfrentadas con sus respectivos motivos. Esperemos que no se tarde mucho en llegar a un acuerdo que beneficie tanto a las empresas como, sobre todo, a los usuarios.

Josep Albors

Nuevas vulnerabilidades en MySQL permitirían el acceso completo a servidores