Microsoft establece prerrequisitos antes de instalar actualizaciones de emergencia
La semana pasada, Microsoft tomó un paso sin precedentes al requerir a los consumidores que deben tener un antivirus actualizado en sus computadoras personales antes de instalar la actualización de seguridad crítica.
“Esto es poco común”, dijo Chris Goettl, gerente de productos de la compañía de seguridad y gestión Ivanti. “Pero hay un peligro en todo esto”.
Goettl se refiere a las actualizaciones de emergencia que lanzó Microsoft la semana pasada para mejorar las defensas de Windows contra los potenciales ataques que aprovechan las vulnerabilidades llamadas Meltdown y Spectre. El sistema operativo y los desarrolladores de navegadores web han emitido actualizaciones diseñadas para fortalecer los sistemas contra las vulnerabilidades, que se derivan de errores de diseño en los procesadores modernos de compañías como Intel, AMD y ARM.
El peligro, de acuerdo con Microsoft, es que las actualizaciones podrían dañar una PC debido al software antivirus conectado incorrectamente en la memoria del kernel.
“Microsoft ha identificado un problema de compatibilidad con un pequeño número de productos de software antivirus”, escribió la compañía en un documento de soporte técnico. “El problema de compatibilidad surge cuando las aplicaciones antivirus hacen llamadas no permitidas en la memoria del kernel de Windows. Estas peticiones podrían causar errores de detención (también conocidas como errores de pantalla azul) que impiden que el dispositivo inicie.”
“Errores de detención” o “errores de pantalla azul” son eufemismos para lo que se conoce comúnmente entre los usuarios como “pantalla azul de la muerte” o BSOD (blue screen of death), nombrada así por el color de la pantalla cuando el sistema falla y no se puede reponer.
Aunque Microsoft minimizó el problema (citando un “pequeño número” de productos antivirus que causan BSOD), respondió de manera contundente. “Para ayudar a prevenir problemas de detención … Microsoft solo ofrece las actualizaciones de seguridad de Windows que fueron emitidos el 3 de enero de 2018 a dispositivos que ejecutan software antivirus de asociados que hayan confirmado que su software es compatible con la actualización de seguridad de enero 2018 para el sistema operativo Windows”.
En otras palabras, a menos que el antivirus instalado haya sido actualizado en enero 4, cuando Microsoft, junto con otros fabricantes, publicó sus parches, la actualización Meltdown/Spectre para Windows no será distribuida a la PC. De la misma manera, una computadora personal con Windows sin un antivirus no podría disponer de la actualización de seguridad.
Para obtener el parche (que contiene otros parches, más típicos además de los diseñados para atender Meltdown y Spectre), los usuarios de Windows 7, Windows 8.1 y Windows 10 deben tener instalado un antivirus actualizado.
Sin embargo, Microsoft pidió a los desarrolladores de antivirus señalar que su código es compatible con la actualización escribiendo una nueva llave en el Registro de Windows. Los usuarios pueden saltar la exigencia de tener un antivirus añadiendo manualmente la llave. La técnica es legítima: Microsoft instruye a los consumidores añadir la llave “si no pueden instalar o ejecutar un software antivirus”.
Incluso cuando reconoció que la estrategia fue pionera, Goettl dijo que Microsoft tenía pocas opciones, con los BSOD que se avecinaban. “Han hecho un gran trabajo de debida diligencia para proteger a los clientes de una mala experiencia”, aseguró. “No había opción para ignorar esto.”
Irónicamente, las pantallas azules de la muerte no fueron contenidas del todo por esta instrucción sobre los antivirus. Los parches defectuosos han afectado e inhabilitado un número de PC equipadas con microprocesadores AMD; el martes de esta semana, Microsoft detuvo las actualizaciones para “algunos dispositivos con AMD”.
Una desventaja de esta táctica es que no se sabe si un producto antivirus ha sido actualizado y si insertará la nueva llave en el Registro de Windows. Microsoft, por razones desconocidas para los clientes, no ha creado una lista de antivirus compatibles. Quizás en lugar de elaborar esa lista, simplemente ha dirigido a los usuarios a usar sus propios productos, Windows Defender (instalado por defecto en Windows 10 y Windows 8.1) y Microsoft Security Essentials (para Windows 7).
Afortunadamente, el investigador de seguridad Kevin Beaumont dio un paso al frente en este problema con una página que enlista los fabricantes de antivirus que han cumplido con la orden de Microsoft. (Beaumont también escribió un texto bastante completo sobre las actualizaciones de Windows y su vínculo con los antivirus en el sitio Medium.) Mientras algunos productos antivirus establecen las llaves necesarias, otros, como los pertenecientes a Trend Micro, no lo hacen; en cambio requiere que los usuarios hagan el trabajo ellos mismos al meterse al registro o, en un ambiente corporativo, usar Active Directory y políticas de grupo para impulsar el cambio en todos los sistemas.
Sin embargo, es igual de importante un detalle que incluso quienes leyeron el documento de soporte de Microsoft pudieron haber pasado por alto. Al final del documento, Microsoft dice en un lenguaje severo: “Los consumidores no recibirán las actualizaciones de seguridad de enero 2018 (o cualquier actualización de seguridad subsecuente) y no estarán protegidos de las vulnerabilidades de seguridad a menos que su distribuidor de antivirus establezca el registro de llaves subsecuente”.
Debido a que Windows 7, 8.1 y 10 ahora son atendidos con actualizaciones de seguridad cumulativas, que incluyen no solo los arreglos de cada mes, sino parches de meses pasados, si una PC no puede acceder a la actualización de enero, no será capaz de acceder a las actualizaciones de febrero o marzo. (La excepción: organizaciones capaces de desplegar solo las actualizaciones de seguridad para Windows 7 y 8.1.) Esta situación continuará mientras Microsoft mantiene los requerimientos de antivirus y registro de llaves.
Microsoft no ha dicho cuánto podría llevar, y prefirió en cambio decir “hasta que lo digamos”. “Microsoft continuará reforzando este requerimiento hasta que exista una confianza en que la mayoría de los consumidores no encontrarán dispositivos que se congelan después de instalar las actualizaciones de seguridad”, aseguró el documento de soporte citado más arriba.
“Es difícil decir cuánto durará esta situación”, admitió Goettl. “Creo que será hasta algunos ciclos de actualizaciones.” O más.
Los responsables de TI deberían comenzar inmediatamente a evaluar la situación de antivirus en su organización, y si es necesario implementar llaves requeridas usando políticas de grupo y comenzar a probar las actualizaciones de Windows, poniendo especial atención en la degradación de desempeño que se ha advertido. Goettl argumentó que mientras los usuarios en general podrían no notar ninguna diferencia en sus actividades cotidianas, algunas áreas de cómputo, como almacenamiento, utilización elevada de redes y virtualización sí podrían padecer.
“Las corporaciones necesitan ser cautas, y realizar pruebas exhaustivas antes de implementar esto.” “Las actualizaciones traen consigo cambios fundamentales en la manera en que trabaja el kernel. Antes, las conversaciones del kernel eran como hablar cara a cara. Ahora, tú y el kernel están a una habitación de distancia.”