¿Por qué Microsoft esperó seis meses para arreglar una falla día cero en Word?

Durante semanas, quizás meses, los hackers podían tomar el control de la computadora de una víctima o instalar malware en ella, simplemente engañándolos para abrir un documento especialmente forjado, gracias a un fallo crítico de “día cero” en la mayoría de las versiones de Microsoft Word .

Cuando los bugs son desconocidos para el proveedor, y aún sin parche, se llaman día cero. Ése es su valor: funcionarán sin importar qué, pues no hay ninguna solución para ellos. Los hackers criminales, así como los hackers que trabajan para los gobiernos, a veces usan días cero, pero es raro que el mismo tipo de exploits de día cero sea utilizado por ambos grupos.

Sin embargo, de alguna manera, eso es lo que sucedió con ese día cero de Microsoft Word. El exploit fue utilizado por hackers del gobierno, probablemente dentro de Rusia, para atacar a las víctimas e infectarlas con el software espía de FinFisher desde finales de enero, por lo menos. El mismo exploit, según la firma de seguridad FireEye, fue también utilizado por una banda criminal que difunde el malware conocido como Latentbot en marzo.

Para agregar aún más misterio a la historia, parece que varios investigadores independientes entre sí encontraron el error original en el que se desarrolló el exploit. Cuando Microsoft lo corrigió el martes, se acreditaron tres investigadores, así como a sus propios equipos internos. Eso no es extraño, pero como un estudio reciente señaló, es raro que diferentes equipos o investigadores encuentren el mismo error, algo que se conoce como “colisión de errores”.

Incluso más raro es el hecho de que de alguna manera terminara en manos de criminales y hackers del gobierno a la vez. Eso por el simple hecho de que si eres un gobierno, quieres usar un error sin que algún codicioso cibernético quiebre tus operaciones sensibles usando el mismo error y exponiendolo a que lo arreglen.

Entonces, ¿qué sucedió?

“Es un verdadero misterio”, dijo una fuente que trabaja en la industria de la ciberseguridad.

Ryan Hanson, un investigador de seguridad, afirmó en un tweet que originalmente lo encontró en julio y lo reveló a Microsoft en octubre.

 

La falla es arreglada en este CVE.

Por alguna razón, Microsoft no lo corrigió hasta esta semana. (Por ejemplo, los errores en Office anteriores encontrados por Google Project Zero se han corregido en un plazo de 90 días).

La compañía dijo en un comunicado que había oído de un “pequeño número” de ataques dirigidos publicamente usando el exploit “hace aproximadamente un mes”, y agregó que no hubo ataques generalizados hasta que McAfee reveló públicamente el error el sábado pasado.

“Esta fue una investigación compleja que tomó tiempo para investigar y arreglar a fondo”, dijo un portavoz de Microsoft. “Hicimos una investigación para identificar otros métodos potencialmente similares, y nos aseguramos de que nuestra corrección se ocupe de algo más que el problema informado”.

No está claro quién desarrolló el exploit utilizado para negociar con FinFisher y Latentbot, pero es posible que el mismo desarrollador lo vendiera a ambos grupos.

“Creo que quien vende a FinFisher también hace negocios en el mercado negro”, dijo John Hultquist, un investigador de FireEye. “El talento, las herramientas y las técnicas se mueven entre mundos de espionaje, criminales y hacktivistas”.

Una fuente que trabaja en la industria de tecnología de vigilancia dijo que FinFisher compra exploits de investigadores privados, así como de Zerodium, un conocido vendedor de exploits. La fuente, que pidió permanecer en el anonimato, dijo que FinFisher recientemente ofreció acceso a un portal de suscripción de exploits que parecía similar a lo que el predecesor de Zerodium, Vupen, solía ofrecer. Chaouki Bekrar, fundador de Zerodium, se negó a comentar. (FinFisher no respondió a una solicitud de comentario.)

¿Por qué tomó tanto tiempo? Tal vez Microsoft no pensó que esto era un error urgente para arreglar. Después de todo en octubre no tenían pruebas de que estuviera siendo abusado. Y los bugs toman tiempo y recursos para obtener parches. Tal vez Microsoft subestimó los riesgos.

Nosotros probablemente no fuimos atacados con este día cero, pero este error sirve como un buen recordatorio de que siempre habrá errores.

“Si alguna vez te estás preguntando: ‘¿Habrá algun bug sin parches en el software que estoy usando?'”, dijo una persona que ha trabajado como desarrollador de exploits. “La respuesta es sí.”

Con información de Motherboard.

Leave a Reply