Hace una semana Microsoft lanzó sus parches de seguridad mensuales entre los que se incluía uno calificado como “Importante”. Este parche solucionaba una vulnerabilidad en sistemas Windows que requería acceso físico a la máquina pero que permitía saltarse los controles de seguridad del sistema con solo utilizar un pendrive USB.
Si somos seguidores del cine de Hollywood o las series americanas veremos que eso ya se lleva haciendo desde hace años en estas producciones, donde espías, super-hackers y forenses de todo tipo solucionan casos con tan solo insertar un pendrive en el sistema y apretando muchas teclas lo más fuerte posible. Como muestra, un botón:
La realidad, no obstante, es bien diferente y el acceso a un sistema para obtener información del mismo es, normalmente, un trabajo que requiere su tiempo y la utilización de muchas herramientas.
Es por eso que esta vulnerabilidad llamó la atención cuando Microsoft lanzo el parche que la solucionaba, porque permitiría a un atacante realizar (aunque no con tanta parafernalia) un ataque a un sistema usando una memoria USB cargada con el exploit y saltarse, de ese modo, los controles de seguridad. De hecho, esta vulnerabilidad permitía acceder al sistema aun si el sistema de autoarranque de este tipo de dispositivos se encontrase desactivado y la pantalla bloqueada.
Esta vulnerabilidad aprovecha un fallo a la hora de enumerar los dispositivos conectados por lo que no se requiere interacción alguna por parte del usuario, permitiendo a un atacante con acceso a la máquina obtener una elevación de privilegios aun con el sistema bloqueado. A pesar de ya haber sido solucionada, Microsoft advierte de que esta vulnerabilidad podría abrir nuevos vectores de ataque sin tener que acceder físicamente al sistema.
Mientras tanto, si no queremos sufrir un ataque al estilo Hollywood, será mejor que actualizamos nuestro sistema Windows con los últimos parches de seguridad. Solo así evitaremos que un aprendiz de Jason Bourne acceda a nuestro sistema y robe la información que allí almacenamos.