TECNOVIRUS.- El “exploit” del sistema Microsoft Windows Update por parte del sofisticado malware de ciber-espionaje “Flame” ha sido considerado como un hecho “significativo en la historia del hackeo a Windows”, comentaron expertos de seguridad el día de ayer. Esto puede considerarse como cierto tomando en cuenta la respuesta de Microsoft: No sólo entrego a sus usuarios una actualización de seguridad pocos días después de la exposición pública de esta amenaza, también han desactivado por completo su proceso de “generación de certificados de seguridad” para sus actualizaciones de Windows.
“Fue una falla sumamente significativa” comentó Wolfgang Kandek, Oficial Jefe de Seguridad de Qualys. Esta violanción de seguridad es considerada el “Santo Grial de los exploits”, algo que solamente se había podido conseguir anteriormente en escenarios de investigación. Otros investigadores líderes de seguridad informática como Mikko Hypponen (F-Secure) y Alexander Gostev (Kaspersky Labs) comentaron que el hack al sistema Windows Update fue “peor que cualquier ataque tipo Día Cero, realmente luce como un ataque de código Modo Dios”.
Lo que mantiene a todos estos investigadores lanzando adjetivos superlativos a los creadores de “Flame” es la capacidad del malware de robar firmas digitales o “certificados” para firmar archivos maliciosos y enviarlos como actualizaciones de Windows “seguras”. Esta circunstancia ha permitido a “Flame” infectar sistemas con versiones completamente actualizadas de Windows XP, Vista y Windows 7 que estén dentro de una misma red, actuando como un todo ya previamente “infectado”.
Con una compleja serie de operaciones que involucraba a tres de sus muchos módulos (Snack, Munch y Gadget) “Flame” puede detectar a posibles víctimas, interceptar solicitudes de conexión a Windows Update y enviar malware, incluso copias de “Flame”, que se hacen pasar por actualizaciones válidas del sistema. Investigadores de seguridad externos habían rastreado estas maniobras y módulos, pero sólo tuvieron sentido cuando Microsoft reveló que sus certificados de seguridad habían sido “generados de forma fraudulenta”.
Los movimientos realizados por Microsoft desde el 28 de Mayo, día en que Kaspersky Labs publicó un análisis de “Flame”, revelan la seriedad con que la empresa tomó este grave ataque. “Pueden ustedes tener una clara idea de la importancia que tiene esto para Microsoft al descubrir que liberaron una actualización de seguridad el domingo, cuando los días de publicación de parches de seguridad son los martes de cada semana”.
Por otra parte, Andrew Storms, Director de Operaciones de Seguridad de nCircle Security, dijo que esto hará que las actualizaciones de Windows Update funcionen como siempre debieron haberlo hecho. “El sistema Windows Update debió haber tenido desde un principio un tipo de certificación de seguridad diferente a todo lo demás”, comentó Storms. “Para todo lo que Microsoft ha hecho e invertido en la seguridad de Windows, es extraño que no hayan considerado antes este tipo de amenazas y ataques”.
Storm también fue sumamente crítico con la vaga forma en que Microsoft ha descrito sus planes de seguridad para fortalecer Windows Update. “El equipo de trabajo de Windows Update debería describir con más detalles como actuarán para corregir este grave problema. Hasta que eso suceda, estoy seguro que muchas personas lo pensarán dos veces antes de realizar una actualización de Windows Update”, finalizó Storms.
Fuente: networkworld.com