Semana de la seguridad 40: la “no tan vulnerabilidad” en WinRAR, un antiguo bug de Firefox, y la actualización de Microsoft, ¡ups!

¿En qué se diferencian las amenazas teóricas y las reales?

Me pregunto qué va a pasar cuando no hayan más problemas de seguridad de la información. ¿Nuestro Threatpost.com se convertirá en un boletín de puros gatitos? ¿Es viable este brillante futuro? Bueno, lo es, considerando la paz de la evolución en la industria IT. En este momento sigue intentando sobrellevar su etapa de dentición, y una vez que la supere, llegará el gran día.

Creo que algún día veremos enfoques más responsables y maduros en la seguridad de la información. Sin embargo, el Internet es, de todas maneras, un modelo virtual del mundo real que lo tiene todo: genios aislados a punto de inventar su propio Google en el garage, corporaciones importantes que luchan por su causa, personas comunes, y finalmente, aquellos que quieren aprovecharse de todos los demás. Hay maneras de hacerles la vida más difícil a los cibercriminales, pero, ¿nos podemos deshacer de ellos por completo?

Un evento curioso me metió esta idea en la cabeza: las noticias más populares de la semana pasada (la de los bugs de Firefox), no tenía nada que ver con la seguridad de la información, bueno, relativamente nada. Sin embargo, los lectores de Threatpost pusieron más atención a estas noticias (nuestros editores deberían intentarlo con gatos graciosos, en serio). La segunda noticia cubre una vulnerabilidad, que no está del todo presente. La tercera noticia de la semana es sobre la actualización de Microsoft, la cual no hizo nada y luego desapareció.

Bueno, parece que no ha pasado nada esta semana – así que vamos a hablar de las diferencias entre las amenazas reales y las teóricas. Como siempre, las reglas son: cada semana nuestro editorial de Threatpost elige las tres noticias más populares, las cuales luego comento sin piedad. Checa otras ediciones de la semana de la seguridad, aquí.

Vulnerabilidad del día cero en los archivos de extracción automática de WinRAR

Noticias. Investigación. Retroalimentación de RARLAB.

Mohammed Reza Espargham, un investigador iraní, encontró una vulnerabilidad en WinRAR , no en el propio software, sino en los archivos de extracción automática, los cuales podrían ser creados por el precedente. De entrada, suena muy crítico. Al utilizar una función de archivador inherente, se podría permitir la ejecución de código HTML al momento de extraer, el cual podría descargar y ejecutar cualquier malware de Internet – con los contenidos del archivo completamente limpios e inofensivos. La función vulnerable es capaz de mostrar un texto en la pantalla, como también aceptar y procesar el HTML.

Los desarrolladores de WinRAR no están de acuerdo con estas noticias. Para entender su punto de vista, solo se tiene que simplificar la descripción del bug a esto: “un usuario puede meterse en problemas al descargar y ejecutar cualquier archivo ejecutable extraño”. ¿Me faltó algo? Esta es una vulnerabilidad fundamental e imposible de parchear en computadoras: ejecutan TODOS los códigos. El equipo de WinRAR da a conocer su punto, citando una “prueba de concepto” para otra vulnerabilidad de “día cero”: los contenidos de los archivos de extracción automática pueden configurarse al ser ejecutados automáticamente sin el consentimiento del usuario. ¡UNA FATALIDAD!

¡Aquí vienen los gatitos!

Las dos partes tienen su punto favorable. A veces, el uso indebido de las herramientas estándar puede perjudicar la seguridad del producto. Una tecnología de cifrado podría ser utilizada para ambos, tanto para la protección de datos personales, como para el cifrado de los datos del usuario por un ransomware. Por lo tanto, tenemos un color aperlado (con un toque de chartreuse) para este evento de seguridad.

Sin embargo, hay algo más. WinRAR es una pieza de software extremadamente popular, y a diferencia de otros miembros de este club, no requiere de una actualización constante. No es como un navegador que hay que actualizar cada mes, simplemente sigue funcionando y punto. Hace un par de años publicamos un informe sobre una encuesta que tenía la intención de demostrar con qué frecuencia los usuarios tienen que actualizar su software. Bueno, si es que lo actualizan: Llevó 7 semanas para que un 30% de los usuarios actualizaran su Java a la versión más reciente.

Nuestra investigación abarcó una vulnerabilidad crítica en WinRAR 3.71, con varios bugs anteriores. No teníamos la intención de encontrar este bug apenas explotable, pero mientras fuimos checando los datos de las actualizaciones, nos impactamos por el hecho de que cinco años después, la versión vulnerable de WinRAR estaba funcionando en miles de PCs, y aún sin parchear.

A fin de cuentas, ¿para qué la parchearían? De todas formas, el archivador no tiene un proceso de actualización automática. Mientras tengamos Java, Flash y navegadores, los cibercriminales no perderían tiempo en hackear programas venerables tan antiguos. Pero, ¿qué pasaría si sus objetivos habituales se volvieran menos hackeables?

Las aventuras de la actualización vacía de Windows

Noticias. Discusión en el foro de Microsoft, descubriendo algunos detalles.

El 30 de septiembre, sin noticia previa, el centro de actualización de Windows decidió hablar, confundiendo a sus usuarios.

Literalmente:

gYxseNjwafVPfgsoHnzLblmmAxZUiOnGcchqEAEwjyxwjUIfpXfJQcdLapTmFaqHGCFsdvpLarmPJLOZY

Ese tipo de usuario raro que realmente verifica las actualizaciones que recibe a través del centro de actualización de Windows, obviamente, dio la alerta: aparecieron cosas muy raras, intentó instalarlo por sí mismo, falló, y luego desapareció. Después se supo que algo similar había ocurrido el 20 de agosto.

Checa esta captura de pantalla de la respectiva discusión en la página web de Microsoft.

Después, el portavoz oficial de Microsoft admitió que era una actualización de prueba, la cual fue distribuida a los usuarios por error. Así que ya se pueden sentar y relajar todos. ¿Había alguna razón para preocuparse? De hecho sí: si el sistema de actualización de Windows se hubiera visto comprometido, hubiera sido el apocalipsis digital mundial digno de Ronald Emmerich.

Imagínate que un criminal distribuye un código arbitrario a millones de usuarios y lo ejecuta sin el consentimiento de éstos. Afortunadamente, es poco factible: tenemos las firmas y cifrados digitales en orden. En uno de nuestros boletines anteriores de la semana de la seguridad, hablé sobre un hackeo poco probable de WSUS (Servicios de Actualización del Servidor de Windows) que afirma que el sistema no puede ser destruido fundamentalmente.

Eso espero, por lo menos.

Firefox parchea un bug de 14 años de antigüedad que consumía mucha memoria

La noticia. La entrada del blog de Adblock Plus, la principal víctima de este bug. El bug en sí.

En pocas palabras: Firefox consume mucha memoria. Con el lanzamiento de la versión 41, dejó de consumir tanta memoria, especialmente instalando la extensión AdBlock Plus. La raíz del problema estaba en la forma en la que el bloqueador de adware y el navegador interactuaban entre sí. Al procesar un método de bloqueo de adware con CSS, el navegador reservaba demasiada memoria (¡hasta 2 GB!).

Este bug surgió el 27 de abril de 2001, en el pre-lanzamiento de la versión 0.9.3. Ese año estuvo marcado por la aparición de la primera versión de Mac OS X, Windows XP y el primer iPod; fue el año en que SATA y USB 2.0 se lanzaron al mercado; el año en que se lanzó el protocolo moderno V.92 y Microsoft por fin se libró de Clip (el ayudante de Office con forma de clip). Fue un buen año, ¿verdad?

Este bug es bastante indefenso. Me pregunto si los desarrolladores de Firefox y de Adblock se pasaron 10 de los 14 años discutiendo sobre quién tenía la culpa. Las vulnerabilidades realmente críticas se suelen parchear casi de inmediato, ¿verdad?

¡Pues no! En la cacería de antiguos bugs, me topé con este: Red Hat (entre otros). Los distribuidores no comprueban la autenticidad de las actualizaciones y otros software instalados. En teoría, esto facilita la toma de control de los sistemas comprometidos si estuvieran instalados o actualizados desde un espejo malicioso. Este bug ha estado en funcionamiento ¡desde el 30 de enero de 1999! Ni siquiera se trata de un espejo, ¡eran disquetes infectados! Se solucionó en agosto de 2014 (y, probablemente, no del todo).

https://media.kasperskydaily.com/wp-content/uploads/sites/87/2020/07/03043824/security-week-40-84-years.gif

Ok, ok, este es el bug al que nos hemos referido anteriormente en relación con WinRAR SFX. Ni siquiera es un bug como tal, es como asumir que “si tiras tu laptop a la fogata, se prenderá”. Dudo mucho que tuvieran la intención de arreglarlo, en un primer momento, lo más probable es que los accionistas lo tuvieran almacenado en rastreador de bugs para avivar ocasionalmente las discusiones sobre la seguridad de Linux. ¿Este bug sirve como prueba de que la seguridad de Linux falla? No, por supuesto que no.

Incluso diría que el lanzamiento de parches inmediatos para todas las vulnerabilidades por sí solo no puede garantizar la seguridad de tus datos. Aquí me enteré de que los desarrolladores de software emplean de media hasta 100-120 días en el parcheado. Nos encantaría que fuera un proceso más rápido, por supuesto, pero, ¿esto implica que todas las vulnerabilidades sin parches son explotadas? No. Hay tantos ataques y errores potenciales, y cualquier intento de abordar todas las vulnerabilidades será únicamente ruido blanco.

Por cierto, hace algún tiempo había un indicador de amenazas en la página web de Kaspersky Lab. Éste permitía evaluar la seguridad a un nivel genérico, todo a la vez. Luego se convirtió en algo así como una versión del Reloj del apocalipsis; era bastante impresionante, pero dejó de ser un medio adecuado para la evaluación de las amenazas reales y se eliminó.

Ahora cada persona o empresa tiene su propio nivel de seguridad, y depende de una serie de variables: el nivel de hackeabilidad en general, el valor de los datos en cuestión y la preocupación que cada uno tiene por su seguridad.

https://twitter.com/DwightVJackson/status/646340189657305088

Qué más ha pasado:

Esta semana ha sido bastante fructífera en el mundo de las noticias, pero no ha habido nada destacable realmente.

Se descubrió otra vulnerabilidad en el motor de Stagefright de Android. La primera surgió a principios de este verano y fue explotada mediante mensajes MMS; el bug más reciente ejecuta un código arbitrario si un usuario abre una página específica en un navegador. Aquí el problema radica en la forma en que la biblioteca procesa los metadatos de un archivo multimedia.

101 errores fueron corregidos en Mac OS X (El Capitan). También, se parcheó otro bug de bloqueo de pantalla en iOS 9.0.2. (mediante Siri)

La larga búsqueda de incrustaciones en TrueCrypt no obtuvo ningún resultado. Pero en el proceso, los investigadores encontraron un bug, que, no puede descifrar los datos cifrados. Sin embargo, se puede utilizar TrueCrypt para escalar privilegios de forma remota. El error fue corregido en el derivado de TrueCrypt, VeraCrypt.

Los dispositivos móviles pueden ser utilizados para realizar ataques de denegación de servicio (DDoS). En este caso, hay supuestos que afirman que se puede insertar un banner de JaviScript mediante redes de publicidad maliciosa. Curiosamente, este tipo de ataque cuesta dinero. Si tienes una protección decente contra los ataques DDoS, no tendrás problemas, pero aquellos que no gozan de este privilegio, tienen mayores posibilidades de que esto les afecte.

Oldies:
Bebe 

Un virus peligroso no residente. Infecta a los archivos .COM actuales. Aumenta el tamaño de un archivo para llegar al múltiplo de un párrafo, a continuación, se copia al final del archivo y altera los primeros 14 bytes (PUSH AX;…; JMP FAR Loc_Virus). Al ser no residente, crea un programa residente. Parte de él se copia en la tabla de vectores de interrupción en 0000: 01CE y establece la interrupción 1Ch (temporizador). Es cuestión de tiempo que aparezca un mensaje en la pantalla que diga:

¡VIRUS!Skagi (Introduce, en ruso) “bebe” En cuanto el usuario introduce “bebe” desde el teclado, el virus responde: “Fig Tebe!” (“¡Que te den!”, en ruso), que evidentemente alude el país de origen. Hay un error en el código: no restaura DTA. Otro defecto: el virus no tiene en cuenta el canal en los procesadores Intel 80×86 y modifica el comando siguiente después del actual y, como resultado, está en funcionamiento sólo en modelos obsoletos de PC de IBM. Además del texto mencionado arriba, también incluye una línea * .COM.

Citado de “Virus informáticos en MS-DOS”, de Eugene Kaspersky, 1992. Pág. 60. 

Aviso legal: Este artículo refleja únicamente la opinión personal del autor. Usted puede coincidir con la posición de Kaspersky Lab, o no. Depende de la suerte.

Consejos