En los parches de este mes (febrero de 2021) de Microsoft se han corregido 56 nuevas vulnerabilidades, y cuatro de ellas ofrecen a los atacantes la posibilidad de encontrar exploits de ejecución remota de código (RCE).
La ejecución remota de código consiste en que datos que parecen inocentes y que se envían desde fuera de la red pueden activar un fallo y tomar el control del ordenador.
Los bugs que hacen posible que trozos de datos con trampas engañen a tu ordenador para que ejecute código no fiable son muy buscados por los ciberdelincuentes, porque normalmente permiten a los ladrones entrar e implantar malware…
…sin que aparezcan advertencias del tipo “¿estás seguro?”, sin necesidad de sutilezas como un nombre de usuario y una contraseña, y a veces sin dejar ningún rastro evidente en los registros del sistema.
Con todo esto en mente, la estadística “56 correcciones, incluyendo 4 RCEs” señala un riesgo más que suficiente por sí mismo para hacer que la aplicación de parches sea una prioridad.
Además de los cuatro posibles agujeros RCE mencionados anteriormente, también hay un parche para un fallo denominado CVE-2021-1732 que ya está siendo utilizado por los hackers.
La situación en la que un ataque se conoce antes de que salga un parche se conoce como un fallo de día cero: los delincuentes llegaron primero, por lo que había cero días en los que se podía haber parcheado para adelantarse a ellos.
Afortunadamente, este fallo de día cero no es un agujero RCE, por lo que los delincuentes no pueden utilizarlo para acceder a su red en primer lugar.
Por desgracia, se trata de un fallo de elevación de privilegios (EoP) en el propio kernel de Windows, lo que significa que los delincuentes que ya han entrado en tu ordenador pueden abusar del fallo para obtener poderes omnipotentes.
Tener ladrones dentro de tu red ya es bastante malo, pero si sus privilegios de red son los mismos que los de un usuario normal, el daño que pueden hacer suele ser bastante limitado. (Por eso es casi seguro que tus propios administradores de sistemas ya no te permiten ejecutar con derechos de administrador como solían hacer en la década de 2000).
Los delincuentes de ransomware, por ejemplo, suelen dedicar tiempo al inicio de su ataque a buscar un fallo de EoP sin parchear que puedan explotar para impulsarse y tener el mismo poder y autoridad que sus propios administradores de sistemas.
Si consiguen hacerse con los derechos de administrador de dominio, de repente están en igualdad de condiciones con su propio departamento de TI, por lo que pueden hacer prácticamente lo que quieran.
Los intrusos que tienen acceso a un exploit EoP probablemente podrán: acceder y mapear toda tu red; alterar tu configuración de seguridad; instalar o eliminar cualquier software que quieran en cualquier ordenador; copiar o modificar cualquier archivo que quieran; manipular los registros de tu sistema; encontrar y destruir tus copias de seguridad en línea; e incluso crear cuentas secretas de “puerta trasera” que pueden utilizar para volver a entrar si esta vez los encuentras y los echas.
Pero eso no es todo
Si todavía no está convencido de que hay que parchear pronto, parchear a menudo, puede que también quiera leer el boletín de seguridad especial de Microsoft titulado Múltiples actualizaciones de seguridad que afectan a TCP/IP.
Las tres vulnerabilidades enumeradas en este boletín son las poco interesantes CVE-2021-24074, CVE-2021-24094 y CVE-2021-24086.
Sin embargo, los fallos que representan son muy interesantes.
Aunque Microsoft admite que dos de ellos podrían, en teoría, ser explotados con fines de ejecución remota de código (por lo que constituyen 2 de los 4 bugs RCE mencionados anteriormente), eso no es lo que más preocupa a Microsoft en este momento:
Las dos vulnerabilidades RCE son complejas, lo que dificulta la creación de exploits funcionales, por lo que no es probable [que se abuse de ellas] a corto plazo. Creemos que los atacantes podrán crear exploits DoS mucho más rápidamente y esperamos que los tres problemas puedan ser explotados con un ataque DoS poco después del lanzamiento. Por ello, recomendamos a los clientes que se apresuren a aplicar las actualizaciones de seguridad de Windows este mes.
Los exploits DoS para estos CVEs permitirían a un atacante remoto causar un error de parada. Los clientes podrían recibir una pantalla azul en cualquier sistema Windows que esté directamente expuesto a Internet con un tráfico de red mínimo.
DoS, por supuesto, es la abreviatura de denegación de servicio – un tipo de vulnerabilidad que a menudo se minimiza como el “último entre iguales” cuando se compara con agujeros de seguridad como RCE y EoP.
La denegación de servicio significa exactamente lo que dice: los delincuentes no pueden tomar el control de un servicio, un programa de software o un sistema vulnerable, pero pueden impedir que funcione por completo.
Desgraciadamente, estos tres agujeros de denegación de servicio son fallos de bajo nivel justo en el controlador del kernel de Windows tcpip.sys, y los fallos pueden, en teoría, ser activados simplemente por el ordenador que recibe la señal de entrada.
