Es necesario estudiar y eliminar errores en Windows Search

Coloca aquí el título de la fuente
16/08/2017

Entre Conflicker y WannaCry hubo casi una década en la que existió poca actividad relacionada a gusanos informáticos.

WannaCry cambió eso, infiltrándose en las empresas a nivel mundial usando varias vulnerabilidades filtradas por ShadowBrokers. En los meses siguientes a los ataques de ransomware que ocurrieron el 12 de mayo, vendedores, investigadores y administradores de red han trabajado para encontrar vulnerabilidades que puedan ser usadas por gusanos informáticos.

Las actualizaciones de Microsoft del martes pasado incluían una vulnerabilidad crítica en Windows Search, por lo que varias personas están preguntándose si este podría ser el inicio del siguiente gran ataque informático. Todas las piezas necesarias están puestas para que alguien cree un gusano que explote la vulnerabilidad, pero ¿podría ser hecho en un tiempo similar a WannaCry y sin la ayuda de alguna herramienta o vulnerabilidad de la NSA?

La vulnerabilidad en la herramienta de búsqueda de Microsoft (CVE-2017-8620), permite a un atacante elevar sus privilegios y remotamente ejecutar código arbitrario. Esto afectaría a todas las versiones actuales de Windows y Windows server, además de que puede aprovecharse de SMB para activar remotamente la vulnerabilidad. SMB es el mismo vector de ataque usado en los ataques de WannaCry y NotPetya, lo cual genera más ansiedad a los usuarios que ya están sensibles tras la ola de ataques ocurridos este año.

La urgencia para arreglar esta vulnerabilidad está ahí, justo como ocurrió con la actualización MS17-010 el cuál arregló las vulnerabilidades explotadas por EternalBlue, una vulnerabilidad filtrada por el grupo ShadowBrokers en abril, un mes después de que existiera una actualización para arreglarla. Mientras la industria aprendió sobre seguridad después de los ataques de WannaCry, aún falta que los usuarios y las empresas estén revisando constantemente si hay nuevas actualizaciones, especialmente para las organizaciones que dependen de sistemas que ya no tienen soporte.

Así como muchos fallaron en aplicar los arreglos de SMB a tiempo, expertos se preguntan si se repetirá la misma historia con el error en Windows Search.

“En este punto aún es difícil determinar si esto va a llevar a una gran ola de ataques, hay muchos factores temporales y ambientales que influyen en eso y las cosas pueden cambiar rápidamente”, dijo Sean Dillon, investigador de RiskSense y una de las primeras personas en estudiar el ataque EternalBlue. “Siempre es buena idea aplicar las actualizaciones tan rápido como sea posible, o al menos las soluciones temporales que Microsoft recomiende. Así como EternalBlue, que tomó ventaja de una operación antigua de SMB (y en una versión obsoleta del protocolo), la mayoría de los usuarios probablemente no están usando de forma activa las características que están siendo usadas por los ataques y deberían tomar los pasos necesarios para desactivarlas si las actualizaciones para solucionar las vulnerabilidades no están disponibles o no pueden aplicarse por alguna razón.”

Microsoft recomienda deshabilitar el servicio WSearch como una solución temporal a la vulnerabilidad CVE-2017-8620.

Check Point Software Technologies llama a arreglar esta vulnerabilidad inmediatamente, además de que publicó una entrada en su blog el viernes, llamando a este error el siguiente WannaCry.

“Básicamente, la vulnerabilidad fue encontrada en un lugar que le permite ser esparcida usando los servicios de Microsoft, si tienes acceso a una computadora en la red puedes propagar el ataque sin la necesidad de la interacción con algún usuario través de toda la red”, dijo Daniel Padon, un investigador de Check Point. “Esto es muy similar a lo realizado por WannaCry. Es posible asumir eso por las vulnerabilidades encontradas previamente, las cuales exponían a estos tipos de ataques. Esto fue el incentivo para buscar ataques del mismo tipo.”

Padon llamó a este error interesante desde una perspectiva técnica y advirtió que tienen un gran potencial de impacto.

“La historia real es que esto está actualmente arreglado” dijo Padon. “Apostaría a que si revisáramos la cantidad de usuarios que aplicaron las actualizaciones correspondientes cuando fueron liberadas, quedaría sorprendido si más del 10% de los usuarios las aplicaron (y eso siendo generoso). Estas vulnerabilidades aún están afectado a las personas porque la seguridad no tiene la misma velocidad que los ataques.”

Dillion dijo que como esta vulnerabilidad permite ataques remotos a las redes sin necesidad de privilegios especiales, todos los ingredientes están presentes para que un gusano tenga éxito.

“La complejidad del ataque es alta, similar a Eternal Blue. Solo pocas personas en el planeta tienen los conocimientos necesarios, habilidad y paciencia para escribir un código confiable en un tiempo razonable para alguna de las vulnerabilidades en MS17-010… si solo no hubieran ocurrido las filtraciones de ShadowBrokers.” Dijo Dillon. “Eso ciertamente hubiera bajado el nivel alarmante de entradas. Esta vulnerabilidad de Windows Search parece ser más fácil de aprovechar que las usadas por WannaCry.”