- El investigador protesta por recibir poco dinero por el descubrimiento
- El bug no ha sido solucionado aún
Un bug que permite saltarse la seguridad de todas las versiones de Windows, incluido Windows 11, se ha hecho público; pero algunos investigadores creen que el problema está en cómo Microsoft reacciona a estos problemas.
Todo empezó con una vulnerabilidad descubierta por el investigador Abdelhamid Naceri, y que fue parcheada por Microsoft en la última actualización publicada a principios de noviembre. Sin embargo, Naceri se dio cuenta de que el parche no sólo no tapaba completamente el problema, sino que lo agravaba; al cerrar una puerta, puede que Microsoft haya abierto otra más grande.
El nuevo 'bug' permite la 'elevación de privilegios'. Un atacante podría usarlo para ganar permisos de sistema, los más poderosos y con los que podría sustituir cualquier ejecutable de Windows con programas maliciosos; en otras palabras, ganaría el control completo del ordenador, partiendo de un acceso muy limitado. Sin embargo, tiene el inconveniente de que el atacante necesita un acceso inicial al sistema; por lo tanto, siempre y cuando sigamos las precauciones habituales, como no instalar programas extraños ni permitir que extraños usen nuestro ordenador, deberíamos estar protegidos.
Esa parece ser la lógica que ha llevado a Microsoft a catalogar este error como de gravedad 'media', pese a que aún no hay solución. En respuesta, Naceri ha publicado una prueba de concepto de cómo funciona la nueva vulnerabilidad, y otros investigadores ya han podido aprovecharlo para, en apenas unos minutos, ganar acceso al sistema.
Investigadores de Cisco Talos han confirmado que ya hay hackers intentando entrar en sistemas usando esta vulnerabilidad, gracias a la publicación de Naceri. Aclaran que por el momento estos son ataques 'de prueba', y que por el momento no parece haber una campaña masiva de ataques basada en esta vulnerabilidad; sin embargo, creen que es una mera cuestión de tiempo de que empiece a aparecer malware diseñado para aprovechar este agujero.
Publicado en 'frustración'
Preguntado por la razón por la que ha decidido publicar su descubrimiento, potencialmente poniendo en peligro millones de ordenadores, Naceri ha confesado que es una cuestión de dinero, mostrando 'frustración' por el tratamiento de Microsoft a los investigadores de seguridad; especialmente en lo que respecta a la reducción de pagos por descubrimiento de bugs.
Al igual que muchas otras tecnológicas, Microsoft tiene un programa de recompensas para investigadores; la idea es que avisen a Microsoft de los 'bugs' en vez de hacerlos públicos o venderlos a organizaciones maliciosas. Sin embargo, Naceri afirma que desde el pasado abril de 2020 estas recompensas han caído en picado, algo confirmado por otros investigadores que llevan todo un año quejándose de este tratamiento.
Microsoft, y el resto de tecnológicas, depende en buena medida de estos avisos, y los investigadores dependen de los ingresos de las recompensas para seguir su trabajo. Cuando este equilibrio falla, se termina con un grave agujero de seguridad al aire libre.