Header Ads Widget

Ticker

6/recent/ticker-posts

Los peligros de gritar 'fuego' en una multitud de parcheadores de PC

Sucede una y otra vez. Microsoft lanza un parche y el mundo entra en pánico. Las terribles predicciones de fatalidad hacen que los clientes de Windows instalen parches, entonces, ¡puf! - la amenaza desaparece. ¿Quién se lastima cuando la industria grita “¡Lobo!”?


Una y otra vez vemos que se desarrolla el mismo drama. Microsoft lanza un parche de seguridad y aparecen advertencias aterradoras en todos los rincones. Cuando su transmisión de noticias local le diga que es mejor parchear Windows ahora mismo …, debe prevalecer un consejo más moderado.

Hace poco más de dos semanas, el martes de parches, Microsoft lanzó un parche para un agujero de seguridad conocido como CVE-2020-0601, la vulnerabilidad Crypt32.dll también llamada  ChainOfFools o CurveBall . 

Los claxons gritaron. Por primera vez, incluso la Agencia de Seguridad Nacional de EE. UU. Se involucró, primero haciendo un reclamo sin precedentes sobre la génesis del agujero de seguridad, y luego emitiendo la primera advertencia de seguridad cibernética de la NSA ( PDF ) advirtiendo a la gente que se agache y se cubra:

La NSA recomienda instalar todos los parches del martes de parches de enero de 2020 lo antes posible para mitigar eficazmente la vulnerabilidad en todos los sistemas Windows 10 y Windows Server 2016/2019.

Por supuesto, todos los medios de comunicación del mundo lo recogieron. ¿Qué editor de noticias podría evitar hacerse eco de un pronunciamiento de la NSA, por el amor de Dios, incluso si se trata de certificados de criptografía de curva elíptica, sean los que sean? El precoz amigo de mi hijo de nueve años me preguntó si había instalado el parche y luego me regañó (de la mejor manera posible) cuando me burlé.

La NSA evalúa que la vulnerabilidad es grave y que los ciber actores sofisticados comprenderán la falla subyacente muy rápidamente y, si se explotan, convertirían las plataformas mencionadas anteriormente en fundamentalmente vulnerables. Las consecuencias de no reparar la vulnerabilidad son graves y generalizadas. Es probable que las herramientas de explotación remota se pongan a disposición rápida y ampliamente.

Para ser justos, Microsoft no asumió la rutina del cielo está cayendo de la NSA. La advertencia CVE-2020-0601 dice ahora, como decía entonces, que se trata de una vulnerabilidad no divulgada públicamente ni explotada con una clasificación de gravedad "Importante" (que es más baja que una "Crítica") .

Eso no impidió que los pandits o los expertos recomendaran que abandonara todo e instalara los parches de Patch Tuesday.

No es un incidente aislado:

El 23 de septiembre, Microsoft lanzó una actualización de seguridad "crítica" fuera de banda para una vulnerabilidad de día cero en el motor JScript de Internet Explorer, CVE-2019-1367 , junto con severas advertencias que todos debían parchear de inmediato. Eso inició una alegre cadena de cuatro parches separados para el mismo problema, cada uno con su conjunto único de errores . Nunca vimos un brote importante de infecciones CVE-2019-1367.
El martes de parches, 17 de septiembre, Microsoft lanzó parches para dos agujeros de día cero "explotados", identificados como CVE-2019-1214 y CVE-2019-1215 . La gente de seguridad se tropezó al insistir en que los usuarios normales necesitaban aplicar ambos parches de inmediato. Sin anuncios ni fanfarrias, en algún momento del 11 de septiembre o principios del 12 de septiembre, Microsoft simplemente cambió esos dos parches de "Explotado: Sí" a "Explotado: No". Pocas personas se dieron cuenta. 
En agosto pasado, Microsoft lanzó soluciones para cuatro agujeros de seguridad "desparasitables" identificados por separado, pero similares, conocidos colectivamente como DejaBlue . En un día, comenzamos a ver informes de errores importantes en Visual Basic, VBA y VBScript. Resulta que los parches rompieron las variantes de VB . ¿Nunca has oído hablar de los ataques de DejaBlue en estado salvaje? El chiste es a costa tuya.
Eso es solo los últimos cinco meses. Retroceda más y verá el mismo patrón repetido: el parche se libera. La gente de seguridad grita "¡Lobo!" Exponen expertos conocedores. Los medios de comunicación, la blogósfera de la industria, las revistas populares, los presentadores de noticias de la televisión local y el cuñado de su mecánico de automóviles repiten el grito de batalla. Las personas que aplican parches se enredan en un estado de nerviosismo ... y nunca aparece ningún ataque significativo.

Dicho esto, ciertamente hay gritos legítimos de “ser remendados”. El agujero de seguridad de BlueKeep en Microsoft Remote Desktop se solucionó en CVE-2019-0708 , lanzado en mayo de 2019. Ese parche solucionó una vulnerabilidad que finalmente se aprovechó (pero no con mucho éxito ) en la naturaleza en noviembre. El padre de todos ellos, WannaCry, comenzó a difundirse en mayo de 2017 (gracias, NSA), aunque MS17-010 lo había parcheado en marzo . 

Visto desde 30,000 pies, el comportamiento de repetición parecería cómico: ¿qué es esa cita sobre hacer lo mismo una y otra vez y esperar resultados diferentes? Pero enmascara dos consecuencias muy importantes y deletéreas de gritar "¡Lobo!"

1. Mucha gente se apresura a aplicar parches de errores. Sé que algunos de ustedes sienten que la calidad de los parches de Windows de Microsoft es bastante buena y que está mejorando. En mi opinión, las observaciones recientes no apoyan esa conclusión. Eche un vistazo a esta lista en curso de parches defectuosos y sus consecuencias, que se remonta a dos años y medio. 

2. Las organizaciones posponen la reparación de agujeros importantes cuando se distraen con estos aulladores. Entonces, el CEO o CIO o CFO o algún otro ejecutivo se entera de un nuevo y horrible agujero de seguridad, y las personas a cargo de parchear se acobardan para solucionar primero los problemas de alto perfil. Diablos, si la NSA o el Departamento de Seguridad Nacional de EE. UU. Emite una alerta, debe ser un problema grande y espeluznante, ¿verdad? Bueno no. En las últimas semanas, varias organizaciones han respondido a la amenaza percibida de tapar el agujero de seguridad de ChainOfFools / CurveBall, cuando su tiempo se habría gastado mucho mejor en parches más importantes para, entre otros , aplicaciones de red Citrix y Pulse Secure VPN . 

Las organizaciones de Sky-is-Fall tienen sus propias prioridades, sus propios cofres que batir, sus propios productos que vender. Lo que es bueno para ellos no es necesariamente bueno para ti.


Publicar un comentario

0 Comentarios