Check Point descubre una vulnerabilidad en la API oficial de Microsoft

Los investigadores de la compa帽铆a destacan que la vulnerabilidad original del RDP de Microsoft detectada en febrero de este mismo a帽o no hab铆a sido completamente solucionada.

Los investigadores de Check Point, proveedor global de ciberseguridad, alertan sobre una vulnerabilidad en una funci贸n de Windows que protege contra un tipo de ataque conocido como Path-Traversal. El nombre t茅cnico de esa funci贸n central es “PathCchCanonicalize”, y representa la API oficial que Windows recomienda a los desarrolladores para aumentar los niveles de defensa contra los ataques de Path-Traversal.

驴Qu茅 es un Ataque 鈥淧ath-Traversal鈥?

Hace referencia a un ataque mediante el cual un ciberdelincuente enga帽a a una aplicaci贸n para que lea y posteriormente divulgue el contenido de los archivos fuera del directorio original de la aplicaci贸n o del servidor web. En otras palabras, un ataque 鈥淧ath-Traversal鈥 ocurre cuando un programa recibe un nombre de archivo como entrada y no lo verifica, permitiendo que el atacante guarde este documento en tantos directorios como desee dentro del mismo equipo infectado o leer archivos a los que se supone que no tiene acceso. Por tanto, este tipo de amenaza ofrece al ciberdelicuente la capacidad de moverse libremente entre los directorios de un equipo.

Por lo general, los ataques 鈥淧ath-Traversal鈥 se utilizan para obtener acceso a informaci贸n sensible almacenada en archivos arbitrarios en otras 谩reas de una aplicaci贸n o carpetas del sistema de archivos que el servidor web puede leer. Por medio de este ciberataque, un atacante puede modificar archivos cr铆ticos como programas, descargar archivos de contrase帽as, exponer el c贸digo fuente de la aplicaci贸n web o ejecutar potentes comandos en el servidor web, dej谩ndolo completamente expuesto.聽聽

驴C贸mo se ha descubierto esta vulnerabilidad?   

En 2019, los investigadores de Check Point revelaron vulnerabilidades en el 鈥淩emote Desktop Protocol (RDP)鈥 de Microsoft, un sistema que permite acceder a otros equipos de forma remota a trav茅s de conexiones de red para aplicaciones basadas en Windows y que se ejecutan en un servidor. Esta tecnolog铆a permite conectarse a un equipo en remoto y trabajar en 茅l como si fuera el suyo propio. Los investigadores demostraron que, una vez infectado con malware, este ordenador podr铆a tomar el control de las actividades de cualquier otro usuario que intentara acceder a 茅l. Por ejemplo, si un miembro del equipo de TI tratara de conectarse a un ordenador corporativo en remoto que estuviera infectada por un malware, 茅ste podr铆a infectar tambi茅n su equipo. Los investigadores de Check Point llamaron a este vector de ataque 鈥淩everse RDP鈥 porque un usuario de RDP piensa que est谩 controlando un ordenador de forma remota, pero el fallo demuestra que lo inverso es lo contrario.

Microsoft emiti贸 r谩pidamente un parche de seguridad para solventar este fallo, pero en octubre de 2019, los investigadores de Check Point descubrieron que ten铆a fallos de seguridad, lo que les permiti贸 recrear el exploit original. Durante el proceso, los expertos de la compa帽铆a descubrieron que Microsoft hab铆a utilizado “PathCchCanonicalize” como soluci贸n, lo que les permiti贸 concluir que algo no funcionaba bien en la API. Check Point revel贸 estos hallazgos a Microsoft, y la compa帽铆a public贸 un nuevo parche de seguridad en febrero de 2020. Sin embargo, todos los programas que usaron esta funcionalidad son vulnerables frente al mismo tipo de ciberataque.聽

“Esta investigaci贸n arroja dos conclusiones: la primera es que el equipo IT de las grandes empresas que usan Windows deben instalar el parche de febrero de Microsoft para asegurarse de que aquellos clientes con los que utilicen RDP est谩n protegidos contra la vulnerabilidad que descubrimos en 2019. La segunda, es que los desarrolladores deben tener en cuenta que Microsoft olvid贸 reparar la vulnerabilidad en su API oficial, por lo que todos los programas utilizados de acuerdo con gu铆a de mejores pr谩cticas de Microsoft seguir谩n siendo vulnerables a un ataque de 鈥淧ath-Traversal. Por tanto, es fundamental que apliquen un parche de seguridad de forma manual para garantizar que est谩n protegidos鈥, se帽ala Omri Herscovici, jefe de equipo de investigaci贸n de vulnerabilidades de Check Point.


Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.