Las actualizaciones de seguridad mensuales de Patch Tuesday de Microsoft siempre reciben mucha atención, y con razón.
Microsoft confirms OneDrive vulnerability that could let an attacker take control |
Sin embargo, gran parte del enfoque tiende a estar en el sistema operativo Windows mismo.
Esto no es sorprendente cuando ve que siete de las quince vulnerabilidades críticas arregladas por Microsoft este mes afectan a Windows 10. Ah, y dos vulnerabilidades de Windows de "día cero" que también están siendo explotadas activamente por los atacantes en la naturaleza.
Este mes, otra vulnerabilidad merece estar en su radar de inteligencia de amenazas, y es para una aplicación de escritorio de Windows que cada vez más personas usan como bloqueos COVID-19, lo que significa que están trabajando desde casa: OneDrive.
CVE-2020-0935 confirmado
Según Microsoft, la vulnerabilidad CVE-2020-0935 es un riesgo de elevación de privilegios que explota cómo la aplicación de escritorio OneDrive para Windows maneja los enlaces simbólicos.
Si se explota con éxito, un atacante podría tomar el control del sistema Windows afectado sobrescribiendo un archivo de destino y obteniendo un estado elevado.
¿Qué son los enlaces simbólicos?
La confirmación de vulnerabilidad de Microsoft explica que el riesgo de elevación de privilegios existe si la versión de escritorio de OneDrive para Windows "maneja incorrectamente los enlaces simbólicos".
Pero, ¿qué son exactamente? Según Chris Hass, director de seguridad de la información e investigación en Automox, los enlaces simbólicos son, simplemente, "objetos del sistema de archivos que apuntan a otro objeto del sistema de archivos".
En este escenario, dijo Hass, "un atacante que haya obtenido acceso a un punto final podría usar OneDrive para sobrescribir un archivo de destino, lo que llevaría a un estado elevado".
Si un atacante ya ha obtenido acceso, ¿no se acabó el juego de todos modos?
La mitigación significativa de esta vulnerabilidad es que un atacante ya debería haber iniciado sesión en su sistema Windows antes de poder explotarlo.
Si bien esto limita el alcance del ataque, y eso se refleja en la vulnerabilidad calificada como importante en lugar de alta o crítica, no significa que no sea problemática.
El hecho de que alguien haya logrado acceder a su computadora no significa automáticamente que pueda hacer mucho más, eso depende del nivel de privilegio que tenga. No es algo bueno, por supuesto, pero no siempre se acaba el juego.
Vulnerabilidades como esta cambian la dinámica. "La escalada de privilegios permite a un atacante comprometer aún más los sistemas, ejecutar cargas adicionales que pueden necesitar mayores privilegios para ser efectivos", explicó Hass, "u obtener acceso a información personal o confidencial que no estaba disponible anteriormente".
Para hacer esto, suponiendo que esté instalada una versión no parcheada de OneDrive, el atacante ejecutará una aplicación creada con fines maliciosos y obtendrá esa escalada de privilegios.
¿Qué vas a hacer ahora?
La respuesta es instalar la actualización, aunque hay muchas posibilidades de que su copia de la aplicación de escritorio OneDrive para Windows ya se haya actualizado.
"OneDrive tiene una función de actualización que verifica y actualiza periódicamente el binario de OneDrive", dijo Todd Schell, gerente senior de productos de seguridad en Ivanti, "por lo que la mayoría de los clientes ya deberían estar protegidos de esta vulnerabilidad".
La excepción es cuando una red tiene espacio para una protección adicional, y Microsoft aconseja a los usuarios en este escenario que descarguen e instalen el binario actualizado aquí.
Usuarios que trabajan desde casa con mayor riesgo de ataque
Además del uso cada vez mayor de herramientas de colaboración como el zoom, que quizás no haya utilizado antes de que despegara el trabajo desde el hogar, también debe proteger las herramientas que da por sentado correctamente.
OneDrive viene como parte integral de su cuenta de Microsoft, un componente integrado en su instalación de Windows 10. No todos pagarán por el almacenamiento adicional de OneDrive, pero más personas lo buscarán mientras trabajan desde casa.
Puede garantizar que los actores de la amenaza buscarán tales aplicaciones como parte de la superficie de ataque. "En un momento en el que estamos usando herramientas de almacenamiento en línea más que nunca, nunca debemos ser complacientes con la seguridad de estas plataformas", dice Jake Moore, especialista en ciberseguridad de ESET.
En una conversación el día de hoy, Moore me dijo que es extremadamente fácil para las personas olvidarse de la protección de sus datos y centrarse principalmente en la facilidad de uso, que es "cuando ocurren errores" a medida que se da más importancia a la funcionalidad. "Aunque Microsoft solo lo señaló como importante", dice Moore, "esta amenaza podría ser mucho más grande".