Nueva vulnerabilidad día cero de criptografía en Windows 10

Especialistas en seguridad en páginas web miembros del llamado “Project Zero” de Google, encargado de detectar vulnerabilidades día cero, han revelado una nueva falla en Windows que aún estaba en proceso de ser corregida por Microsoft.

Tavis Ormandy, uno de los miembros de Project Zero, reveló el descubrimiento de una falla de seguridad en la biblioteca criptográfica central de Windows: “Notificamos a la compañía y se comprometieron a lanzar una solución en 90 días, pero esto no ha sucedido. Al cumplirse el plazo mencionado por Microsoft, los especialistas revelaron al público la falla.    

La vulnerabilidad existe en SymCrypt, la biblioteca criptográfica central responsable de implementar algoritmos criptográficos en Windows 10 y 8. Los expertos en seguridad en páginas web descubrieron que al usar un certificado digital erróneo, es posible forzar los cálculos de SymCrypt en un loop infinito. Las condiciones anteriores provocarán un ataque de denegación de servicio (DoS) en los servidores Windows.

Los expertos en seguridad en páginas web agregan que múltiples herramientas que procesan contenido poco confiable, como el software antivirus, llaman a estas rutinas en datos que no son de confianza, lo que provocará que se bloqueen. No obstante, Ormandy considera que esta es una falla de baja severidad, aunque debe ser tomada en serio.

Los especialistas publicaron una alerta de seguridad, además de una prueba de concepto, demostrando que es posible generar el ataque DoS empleando un certificado con formato incorrecto.

Project Zero otorga plazos de 90 días a las compañías para solucionar sus hallazgos. La vulnerabilidad fue revelada a Microsoft a mediados de Marzo y, acorde a los expertos, la compañía se comprometió a lanzar un boletín de seguridad y a solucionar la falla antes del martes 11 de junio. El experto declaró que el Centro de Respuesta de Incidentes de Seguridad de Microsoft le envió un mensaje en el que afirmaban que debido a los problemas generados durante el proceso de corrección de la falla, la corrección estaría lista hasta julio, por lo que el experto decidió revelar la vulnerabilidad.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS) algunos miembros de la comunidad de la ciberseguridad muestran su respaldo a la decisión de Ormandy de revelar la vulnerabilidad; por otra parte, otros consideran que, ya que la compañía está trabajando para entregar un parche de seguridad completamente funcional, el equipo de Project Zero podría haber concedido a la compañía algo más de tiempo para actualizar sus servicios.

(Visited 248,1 times)