BadTunnel: la vulnerabilidad que todos los usuarios de Windows deben arreglar

Un investigador de seguridad ha descubierto una grave vulnerabilidad que afecta a todas las versiones del sistema operativo Windows de Microsoft desde Windows 95 a Windows 10.

La vulnerabilidad podría dar a los atacantes una forma de configurar ataques man-in-the-middle contra sus víctimas engañandolos en hacer clic en un enlace, abrir un documento de Microsoft Office o conectar una unidad USB.

En una entrevista con Dark Reading, Yang Yu, quien gano $50.000 del programa de recompensas de errores por su descubrimiento que ha apodado BadTunnel, describe el impacto en términos espectaculares:

Esta vulnerabilidad tiene un impacto masivo en la seguridad – probablemente el impacto más grande en la historia de Windows.

Microsoft lanzó un parche para la vulnerabilidad el pasado martes en el boletín de seguridad MS16-077. Los usuarios de versiones no soportadas de Windows, como Windows XP deben desactivar NetBIOS sobre TCP/IP.
<!- adsense –>

Los detalles prácticos de cómo funciona la vulnerabilidad no han sido revelados, pero se ha descrito como una técnica para NetBIOS-spoofing a través de redes que no pasa por los firewalls ni dispositivos NAT (Network Address Translation).

En otras palabras, puedes quedar expuesto a los atacantes que no estén en la red y tu firewall no te salvará, a menos que bloquees el puerto UDP 137 entre la red e internet.

Según Yu, que se basa en una cadena de elementos que incluyen “un protocolo de capa de transporte, un protocolo de capa de aplicación, alguna utilización específica de protocolo de aplicación del sistema operativo, y varias implementaciones de protocolos utilizadas por los firewalls y dispositivos NAT.”

El boletín de Microsoft parece romper el eslabón final de la cadena mediante la solución de una vulnerabilidad en WPAD (Protocolo de descubrimiento automático de Web Proxy) que fue reportado por primera vez en 2007.

WPAD es una manera para que los equipos descubran los archivos de configuración del navegador web de forma automática mediante la búsqueda en direcciones específicas en la red local de una computadora. Un atacante que pudiera encontrar una manera de ocupar una de esas direcciones, o cambiar las direcciones que se buscaron, podría suministrar sus propios archivos de configuración e instruir al navegador de la víctima para enrutar el tráfico a través de un ataque man-in-the-middle.

Hasta BadTunnel, el atacante tuvo que acceder a la red de la víctima (o depender de conflictos de nombres de dominio ventajosos) que hacia difícil de lograr este ataque.

Yu planea revelar los detalles completos de BadTunnel en una presentación en la próxima conferencia BlackHat:

En esta presentación se introducirá un nuevo modelo de amenazas. Sobre la base de este modelo de amenazas, hemos encontrado un defecto en el sistema de Windows. Afecta a todos los Windows publicados en las últimas dos décadas, incluyendo Windows 10. También tiene una muy amplia gama de superficie de ataque. El ataque se puede realizar en todas las versiones de Internet Explorer, Edge, Microsoft Office, muchos software de terceros, unidades flash USB, e incluso servidores Web. Cuando se activa esta falla, ESTAS SIENDO OBSERVADO.

Leave a Reply