Una nueva y potente vulnerabilidad tiene todo lo que se necesita para poner patas arriba la seguridad de Windows en millones de computadoras.
La falla aún no tiene un nombre oficial y ya hay una solución disponible, pero los investigadores advierten a las empresas que instalen los últimos parches o enfrenten las consecuencias.
El mundo de la seguridad aún recuerda (y teme) el caos desatado por EternalBlue en 2017, cuando la vulnerabilidad descubierta (y almacenada) por la Agencia de Seguridad Nacional (NSA) fue explotada por los infames ataques WannaCry y NotPetya (entre muchos otros) para afectar infraestructuras en todo el mundo.
Los investigadores de seguridad ahora están haciendo sonar una nueva alarma con respecto a otra poderosa vulnerabilidad en la ciudad, una que podría ser incluso más peligrosa que EternalBlue si no se repara.
Rastreada como CVE-2022-37958, la nueva falla funciona igual que EternalBlue y podría explotarse para ejecutar código malicioso de forma remota sin necesidad de autenticación. El error también es “gusano”, lo que significa que puede autorreplicarse para afectar a otros sistemas vulnerables. Esta es exactamente la razón por la que WannaCry y los otros ataques de 2017 pudieron propagarse tan rápido.
Sin embargo, a diferencia de EternalBlue, CVE-2022-37958 es aún más peligroso, ya que no se limita al protocolo del bloque de mensajes del servidor (SMB) porque reside dentro del mecanismo de negociación extendida de SPNEGO. El software cliente-servidor utiliza SPNEGO para negociar la elección de la tecnología de seguridad a utilizar.
Gracias a SPNEGO, una computadora cliente y un servidor de Internet pueden decidir el protocolo a utilizar para la autenticación; más allá de SMB, la lista de protocolos afectados incluye RDP, SMTP y HTTP.
El peligro que representa CVE-2022-37958 se ve mitigado por el hecho de que, a diferencia de EternalBlue, la solución correcta ya está disponible desde hace tres meses.
Microsoft solucionó el error en septiembre de 2022 con su lanzamiento mensual de Patch Tuesday. En ese momento, los analistas de Redmond clasificaron las fallas como “importantes” y vieron el problema como una posible divulgación de información confidencial y nada más. Después de revisar el código, esos mismos analistas ahora han asignado una etiqueta “crítica” a CVE-2022-37958 y una calificación de gravedad de 8.1, la misma que EternalBlue.
El hecho de que un parche ya esté disponible podría ser un factor agravante más que positivo.
“Como hemos visto con otras vulnerabilidades importantes a lo largo de los años”, como MS17-010 explotada con EternalBlue, dijo la investigadora de seguridad de IBM Valentina Palmiotti, “algunas organizaciones han implementado parches lentamente durante varios meses o carecen de un inventario preciso de los sistemas expuestos a la Internet y se pierden los sistemas de parches por completo”.
La amenaza sigue ahí afuera, al acecho en millones de sistemas Windows desde Windows 7 en adelante.
