Esta semana Google reveló un ‘bug’ crítico en Windows que aún no ha sido arreglado. Ayer Microsoft manifestó que un grupo de hackers, previamente relacionado con el gobierno ruso, estaría detrás de recientes ciberataques en los que se aprovechó la falla de seguridad revelada por Google, informó Reuters.  

La compañía dice que detectó en su sitio web varios ataques que usaron correos ‘spear phishing’ provenientes de un grupo de hackers conocido como Strontium, que también se conoce como ‘Fancy Bear’ o APT 28. Microsoft no ha identificado ninguna víctima.

‘Spear phishing’ es un tipo de ataque en el que se envían mensajes, normalmente vía correo electrónico, que hacen uso de información conocida para engañar a las víctimas para que hagan clic en enlaces malignos o adjuntos contaminados. Microsoft dijo que los ataques detectados hacen uso de una falla de seguridad en el software de Flash de Adobe y en el sistema operativo de Windows.

Adobe lanzó un ‘arreglo’ para esa vulnerabilidad el mismo día que Google reveló los detalles sobre el ‘bug’. En ese momento Microsoft manifestó que no estuvo de acuerdo con la decisión de Google porque se estaba poniendo en riesgo la seguridad de los usuarios.

Esta noticia coincide con las acusaciones que ha hecho el gobierno de Estados Unidos hacia Moscú que indican que el gobierno ruso está llevando a cabo una campaña de hackeo sin precedentes, y que tiene como objetivo sabotear las próximas elecciones en Estados Unidos. 

Microsoft dijo también con este anuncio que el arreglo para proteger a los usuarios de Windows de este ‘bug’ será lanzado el 8 de noviembre, que es el día de las votaciones presidenciales en Estados Unidos.

Según le dijo al medio un experto en actividades cibernéticas rusas, Fancy Bear trabaja principalmente de parte del GRU, que es la agencia de inteligencia militar de Rusia. La inteligencia de seguridad de Estados Unidos han señalado a esa agencia como responsable por los ‘hackeos’ a las bases de datos del y correos del Partido Democrático hace unos meses.

Imagen: Robert Scoble (vía Flickr). 

El grupo de Análisis de Amenazas de Google reveló una vulnerabilidad crítica de Windows en una publicación del blog de seguridad de la compañía. El bug es muy específico, según informó The Verge: permite a los atacantes escapar de ‘cajas de arena’ de seguridad a través de una falla en el sistema win32k. Aunque es una falla sutil, es lo suficientemente seria como para ser crítica, según Google. Además está siendo explotada.

Google le informó a Microsoft hace 10 días sobre la falla, antes de publicarla y para darle tiempo a la compañía de desarrollar un parche. Sin embargo, Microsoft aún es vulnerable, y Google ya desplegó una protección para los usuarios de Chrome.

La revelación de Google solo nos da una descripción básica del bug, lo cual es suficiente información para que los usuarios puedan identificar un posible ataque. Para usar el bug se requiere una extensión aparte en Adobe Flash, para lo cual la compañía ya publicó el respectivo parche. Sin embargo, el hecho de que el bug exista puede incentivar a criminales a buscar formas viables de usarlo contra computadores que no han actualizado Flash.

Microsoft se manifestó al respecto y criticó la revelación, según dijo una fuente oficial a VentureBeat. Microsoft considera que al hacer público el bug, Google está poniendo en riesgo a los clientes. El vocero dijo que la compañía recomienda a los usuarios permanecer usando Windows 10 y el navegador Microsoft Edge.

El ‘período de gracia’ concedido a Microsoft responde a una política que Google estableció en 2013, y que dicta que las vulnerabilidades críticas solo se publican siete días después de que los investigadores le avisan al vendedor, en este caso Microsoft. Muchos investigadores consideran que esta política es desconsiderada porque siete días no son suficiente tiempo para responder a una vulnerabilidad compleja. Esta es la primera vez en tres años que Google tiene que aplicar la política.

Google recomienda que los usuarios verifiquen que sus versiones de Flash se hayan actualizado y que eventualmente apliquen los arreglos que Microsoft lance para enfrentar el bug.

Imagen: TechStage (vía Flickr).