Header Ads Widget

Ticker

6/recent/ticker-posts

El día de parches trae fuegos artificiales y, ¿una bala mágica?

El mundo está esperando el trueno de Thor de un parche de Windows más tarde hoy. Dado el historial de Microsoft con parches llamativos y exagerados, es necesario un poco de escepticismo. Aquí hay un poco de historia y una invitación a un asiento en primera fila.


En los últimos años, hemos visto algunos agujeros de seguridad que han provocado advertencias de Chicken Little y una gran cantidad de informes de prensa irreflexivos. Cuando enciende un programa de noticias local y escucha del reportero del tiempo de la ciudad natal que realmente necesita parchear Windows, puede ser necesario un poco de escepticismo.

Parece que el martes de parches de hoy se dirige por el mismo ramal gastado.

Brian Krebs, el gurú de la seguridad con credenciales impecables, lanzó una salva de apertura en su publicación de blog ayer :

Las fuentes le dicen a KrebsOnSecurity que Microsoft Corp. está programado para lanzar una actualización de software el martes para corregir una vulnerabilidad de seguridad extraordinariamente grave en un componente criptográfico central presente en todas las versiones de Windows. Esas fuentes dicen que Microsoft ha enviado silenciosamente un parche para el error a las ramas del ejército de EE. UU. Y a otros clientes / objetivos de alto valor que administran la infraestructura clave de Internet, y que se les ha pedido a esas organizaciones que firmen acuerdos que les impidan revelar detalles de la falla antes del 14 de enero, el primer martes de parches de 2020.

Por un lado, tenemos a Will Dorman, un analista muy respetado del Centro de Coordinación del CERT federal, quien tuiteó :


Tengo la impresión de que la gente quizás debería prestar mucha atención a la instalación de las actualizaciones de Microsoft Patch Tuesday de mañana de manera oportuna. Incluso más que otros. No lo sé ... ¿solo llámalo corazonada? ¯ \ _ (ツ) _ / ¯

Por otro lado, tenemos a Kevin Beaumont, mi valiente porg favorito en las trincheras, que dice simplemente:

No entre en pánico con este.

Un poco de historia histriónica aquí.

El lunes, no el martes, claro, sino el lunes 23 de septiembre, Microsoft lanzó un parche fuera de banda muy publicitado para un día 0 de Internet Explorer "explotado" conocido como CVE-2019-1367. La solución fue tan fallida que Microsoft terminó lanzando cuatro soluciones separadas para ella, en el transcurso de tres semanas, y muchos (¿millones?) De clientes de Windows quedaron atrapados en los errores. ¿El agujero de seguridad en sí? Nunca llegó a ser una colina de frijoles.


En noviembre recibimos un tratamiento similar para CVE-2019-1429, un monstruo aterrador "explotado" que nunca se materializó. En diciembre, fue  CVE-2019-1458, que desde entonces se ha hundido en la oscuridad. En septiembre, recibimos advertencias de emergencia sobre dos agujeros de seguridad "explotados", CVE-2019-1214 y CVE-2019-1215. Unos días después, sin ningún anuncio, Microsoft eliminó la designación de "explotado" . 

Luego estaba el fiasco de DejaBlue. Beaumont, que nombró el agujero de seguridad y lo siguió de cerca , nunca encontró un exploit funcional en el mundo real (aunque había varios exploits en el laboratorio, prueba de concepto, como exploits).

Por supuesto, ha habido importantes agujeros de seguridad anunciados con fanfarria, incluidos sus propios sitios web y logotipos dedicados. La amenaza real más reciente llegó en forma de BlueKeep, anunciado y parcheado en mayo, que en realidad tenía un exploit funcional que apareció en septiembre . Incluso la NSA advirtió al respecto . Tenías cuatro meses más o menos para ponerte el parche. (Revelación completa: me uní a la multitud de Chicken Little y recomendé un parche temprano para BlueKeep, cuando no era necesario).

Muchos fanáticos de la línea dura de parchearlo ahora recuerdan a WannaCry, que abrió una amplia franja en mayo de 2017. Con sus orígenes en el código de piratería escrito por la NSA, WannaCry representaba una amenaza significativa , pero Microsoft ya había lanzado su parche WannaCry, MS17. -010, dos meses antes de que apareciera WannaCry.  

No estoy diciendo que necesites ponerte anteojos de color rosa y "la-la-la" para superar las travesuras del martes de parche de hoy. Pero estoy diciendo que una cierta cantidad de moderación podría ser de gran ayuda, especialmente dado el historial de Microsoft de fallidos martes de parches.


Publicar un comentario

0 Comentarios