Con una actualización del martes de parches de junio, Microsoft se queda corto

Jul 13, 2023

Por Susan Bradley, escritora colaboradora de Computerworld |

He seguido los parches de Windows de Microsoft durante años y he observado de cerca todos los cambios que ha realizado la empresa. Recuerdo cuando había que instalar las actualizaciones en un orden determinado y ver cuál debía instalarse primero. Recuerdo la llegada de los parches automatizados mediante los Servicios de actualización de software (más tarde llamados Servicios de actualización de Windows Server). He visto cómo pasamos de un sistema en el que cada vulnerabilidad se parcheaba individualmente a lo que tenemos ahora: parches acumulativos.

El parche ideal es autónomo. Instale, reinicie y vuelva a su trabajo. No causa efectos secundarios. Protege el sistema operativo. Y te olvidas de él porque hace lo que se supone que debe hacer.

Muchos en la industria de la seguridad recuerdan incidentes de seguridad específicos y hablan poéticamente de ellos. Tiendo a recordar parches concretos y sus efectos secundarios. Mi favorita fue una actualización de hace mucho tiempo que provocó una pantalla azul de la muerte. Esta actualización en particular, MS10-015, solucionó un problema de elevación de privilegios al realizar cambios en los registros del kernel. El problema: en algunos lugares fuera de EE. UU., los usuarios ejecutaban software que evitaba la necesidad de una clave de licencia de producto y utilizaba exactamente los mismos registros para conectarse al kernel de Windows.

Entonces, cuando se instaló ese parche, inmediatamente se activó un BSOD y no se pudo recuperar la computadora. Para llegar a la causa raíz, Microsoft llegó incluso a comprar una computadora portátil a un cliente afectado. (La historia la cuenta en este vídeo Dustin Childs, director del Centro de respuesta de seguridad de Microsoft).

Avance rápido hasta el lanzamiento del martes de parches de este mes. Incluyó una actualización que no protege completamente el sistema operativo hasta que alguien implementa claves y subárboles de registro, detalles que casi están ocultos en el artículo de KB. Para encontrarlo, tuvo que expandir la sección Windows 10 21H2 para acceder a un pequeño enlace a un artículo adicional de la base de conocimientos. Eso sí, 21H2 recibió su actualización final este mes, por lo que si bien Microsoft a menudo muestra cambios que afectan tanto a 21H2 como a 22H2 de esta manera en el mismo boletín, parece extraño enterrar esta información tan abajo en el historial de actualizaciones.

Los detalles sobre uno de los parches de junio de Microsoft que requieren investigación en un artículo adicional de KB.

La guía para tomar medidas adicionales se encuentra en la sección "para obtener más información" y ni siquiera está claro que tengamos que agregar manualmente la sección del registro. ¿Por qué esto no fue solo parte de la actualización? (El parche ni siquiera incluye las claves de registro en una configuración deshabilitada, los usuarios tienen que agregar todo el subárbol por su cuenta). Luego, el jueves pasado, Microsoft señaló que los pasos manuales podrían introducir un “posible cambio importante”, pero no dio ninguna información. pista sobre lo que ese cambio podría afectar o incluso qué buscar.

Microsoft aumentó la confusión del parche con una nota de seguimiento el 15 de junio.

La clave de registro necesaria es única para cada versión de Windows 10 y 11, así como para Server 2022. Ahora, hay buenas noticias aquí. La vulnerabilidad se describe de esta manera:

Un usuario autenticado (atacante) podría causar una vulnerabilidad de divulgación de información en el Kernel de Windows. Esta vulnerabilidad no requiere administrador ni otros privilegios elevados.

El atacante que aproveche esta vulnerabilidad podría ver la memoria dinámica de un proceso privilegiado que se esté ejecutando en el servidor.

La explotación exitosa de esta vulnerabilidad requiere que un atacante coordine el ataque con otro proceso privilegiado ejecutado por otro usuario en el sistema.

Traducido, esto sería un atacante que persigue un objetivo de alto valor, no consumidores o incluso muchas empresas. Y no sería un ataque trivial de llevar a cabo, dado que tendría que ser un ataque combinado que requiera tiempo y esfuerzo adicionales. Eso todavía no minimiza las preocupaciones que tengo sobre qué tan mala ha sido la comunicación en este lanzamiento en particular, especialmente la falta de información sobre los efectos secundarios que podrían ocurrir. Agregué manualmente el subárbol de registro a una máquina con Windows 10 22H2 en la oficina y a una PC con Windows 11 22H2 en casa y no veo ningún impacto directo.

Entonces, recapitulemos. Tenemos una vulnerabilidad en la que algunos usuarios, pero no todos, deben tomar medidas adicionales. La configuración del registro debe realizarse manualmente, prestando mucha atención a las claves únicas necesarias para cada sistema operativo. Si es administrador de TI, considere usar PowerShell o alguna otra técnica para implementar estas claves. Dicho esto, a menos que su negocio corra un alto riesgo, no haría esto. Hasta que Microsoft proporcione más información sobre los efectos secundarios, utilice su tiempo y energía en otros proyectos que protegerán mejor su red o que validarán otras implementaciones de parches. Hay muchos otros proyectos de seguridad que sería mejor que hiciera.

El mismo consejo es válido si es un usuario de una pequeña empresa o administra una PC en casa: no veo ninguna necesidad de agregar estas claves de registro ahora.

Finalmente, Microsoft necesita hacerlo mejor. Su comunicación sobre esta versión ha sido pésima y la comunicación es tan importante para la seguridad como la aplicación de parches. Has arruinado este; Parece que hemos retrocedido unos 20 años en términos de comunicación de seguridad. Esperemos que esto no sea una tendencia en el futuro.

Copyright © 2023 IDG Communications, Inc.