La vulnerabilidad habría sido detectada por el experto en seguridad informática Yang Yu, fundador del laboratorio Xuanwu de Tencent. Yu declaró a la publicación Forbes que la vulnerabilidad puede ser utilizada para explotar conexiones falsificadas mediante la tecnología NetBIOS, diseñada para habilitar la comunicación en una red local.
Yu explica que los ataques pueden ser realizados desde el exterior de la red local, debido a que “Windows confía en las conexiones realizadas desde cualquier dirección IP, al tratarse de conexiones desde NetBIOS, incluyendo identificadores”, precisando que “el problema principal ha estado en la posibilidad de adivinar tales identificadores”.
De esta forma, un atacante podría inducir la red a suponer que su computadora externa forma parte de la red interna. Eventualmente, todo el tráfico de la red puede ser canalizado hacia un punto de conexión controlado por el atacante. De esta forma, este podría monitorizar el tráfico de la red, y modificar los datos intercambiados por las computadoras que la integran. Esta capacidad incluiría los datos de Windows Update.
“El ataque puede ser exitoso incluso en aquellos casos que exista un cortafuegos entre los dispositivos que integran la red. Los cortafuegos no tendrían la capacidad de impedir los ataques debido a que UDP (User Datagram Protocol) es un protocolo que no depende de las conexiones. Lo utilizamos para crear un túnel y es por eso que la vulnerabilidad es denominada BadTunnel”, explicó Yu a Softpedia.
La utilización de UDP no es explicada con mayor detalle, pero Yu explica a la publicación Threatpost, de Kaspersky Lab, que el código de ataque solo constituye una herramienta rudimentaria para enviar paquetes UDP. “Con el fin de implementar un ataque exitoso de tipo BadTunnel, es necesario que la víctima dirija su navegador (Internet Explorer o Edge) a una URL maligna, que abra un documento (del paquete Office), o que inserte una memoria USB en su computadora. El ataque funciona en todo tipo de recursos donde sea posible integrar un archivo URI (Uniform Resource Identifier) o UNC (Universal Naming Convention). Softpedia ha presentado una descripción técnica completa http://news.softpedia.com/news/badtunnel-bug-hijacks-network-traffic-affects-all-windows-versions-505294.shtml del procedimiento utilizado para el ataque. Según la publicación, Yu presentará nuevos detalles durante la conferencia Black Hat USA, programada para comienzos de agosto.
Por su parte, el especialista en seguridad informática Ollie Whitehouse comentó a NCC Group que la vulnerabilidad es difícil de explotar debido a que es necesario que se produzca una cadena de distintas vulnerabilidades. Yu parece no estar de acuerdo con lo anterior, al señalar que un atacante que conozca los principios de esta cadena de vulnerabilidades podría escribir un código de ataque exitoso en 20 minutos: “Esta es quizás la primera vez en la historia que es posible documentar una intercepción exitosa de un protocolo de transmisión de una red local en Internet. Es la primera vez que ha sido posible crear un túnel que atraviesa el cortafuegos y unidades NAT, haciendo posible atacar unidades situadas en una intranet, desde Internet”, concluyó señalando Yang Yu a la publicación Forbes.
La propia Microsoft se refiere a la vulnerabilidad en esta página. Según la empresa, se trata de una vulnerabilidad que habilita privilegios incrementados cuando el protocolo Web Auto Discovery (WPAD) utiliza, a modo de reserva, un proceso de detección de proxy vulnerable. La empresa ha publicado un parche de seguridad que corrige la forma en que Windows gestiona esta detección de Proxy. Sin embargo, esta actualización sólo está disponible para los usuarios de Windows Vista y más recientes, como asimismo para Windows server 2008 y más recientes. Los usuarios de versiones anteriores de Windows pueden protegerse en cierta medida contra el ataque desactivando el soporte para NetBIOS en TCP/IP, según el procedimiento descrito en este enlace.
—
Fotografía © Sergei Bachlakov vía Shutterstock