Tras la aparición de una importante vulnerabilidad en los sistemas Linux hace un par de semanas, algunos curiosos profesionales de la seguridad informática, se pusieron a comprobar si algún otro lenguaje de programación incluía los mismos errores dado que estaban en la declaración de variables, algo que todos tienen en común, descubriendo que la consola de comandos de TODOS los sistemas operativos Windows de Microsoft contenían una vulnerabilidad similar.

A continuación les mostramos algunos de los comentarios de los profesionales más importantes del sector:

The security factory (TSF)

¿Si dijéramos que un usuario normal dentro de la red podría asumir el control de su servidor de archivos con sólo crear una carpeta con un nombre especial en uno de los directorios a los que tiene acceso?" y también agregó "para tener éxito, lo único que necesita el usuario es crear una carpeta con un nombre especial y ejecutar de forma cotidiana scripts con propósitos administrativos, que comúnmente tienen una vulnerabilidad en el código.

Seculert

​Si se define una variable de entorno, una vez que la variable es usada se ejecuta cualquier acción definida en ella", mencionó Raff y agregó, "el hallazgo no es tan crítico como el que afecta a las plataformas Linux y UNIX, sin embargo, podría perjudicar a la herramienta Windows Deployment Services presente en Windows server, ya que estos despliegues utilizan archivos batch y scripts que incluyen variables de entorno.

Rapid7

la clave está en la creación de una variable de entorno en Windows, que es una operación privilegiada. Si eso se puede hacer, prácticamente eres el dueño del sistema" y sugirió "la gente debe auditar sus scripts verificando acceso inseguro a la variable %CD% y otras variables de entorno, ya que es probable que Microsoft no corrija el problema.

Si los desarrolladores de las distribuciones más importantes de Linux afectadas por el conocido como ShellShock tardaron unas pocas horas en lanzar los primeros parches y actualizaciones para solucionar los errores, los portavoces de Microsoft han quitado importancia al asunto asumiendo que no es un fallo en si, sino un error en el desarrollo de la programación efectuada por los programadores y administradores´por lo que actualmente no está planeado lanzar ningún parche que solucione la vulnerabilidad detectada.

Podría verse así, como un error de programación, y desde Técnicos Web como programadores que somos sabemos que cualquiera comete errores, es algo normal en nuestro trabajo, pero un compilador o intérprete de comandos debe detectar cierto tipo de errores (por no decir advertir cualquier defecto en la sintaxis de un comando) y bloquearse dando un aviso, pero el defecto explotado en las consolas de Microsoft permitiría a un usuario normal de una red apoderarse de un servidor simplemente creando una carpeta y ejecutando desde su interior una serie de scripts simples que aprovecharan la vulnerabilidad.

A priori la vulnerabilidad ShellShock podría considerarse más importante dado que más del 90% de los servidores mundiales usan éstos sistemas operativos, incluidas empresas de hosting que albergan páginas web y portales de venta, empresas con información sensible de clientes y ventas, bancos con toda su información financiera e incluso gobiernos. No olvidemos los televisores inteligentes o SmartTVs y los smartphones y tablets que usan los sistemas Unix como base de sus propios sistemas, tales como Android o iOS, pero si hablamos de computadores personales, ya sean personales o terminales en empresas y oficinas, los porcentajes de uso se invierten, tal como muestran los datos de las últimas estadísticas del pasado agosto realizadas por NetMarketShare.

Comparativa de uso de los sistemas operativos en Agosto del 2014


Al parecer sólo podría explotarse la vulnerabilidad estando conectado en la misma red local, pero teniendo en cuenta la cantidad de terminales que corren con el sistema operativo Windows, la escasa seguridad que proporcionan muchos routers de conexión doméstica a Internet y la proliferación de malware tipo backdoor que permite a usuarios mal-intencionados acceder a computadores ajenos, nosotros nos hacemos una idea del potencial peligro que conlleva ésta vulnerabilidad, por eso desde Técnicos Web les aconsejamos endurecer las medidas de seguridad y los protocolos de autentificación en sus conexiones inalámbricas, no instalar software sospechoso o de fuentes de poca confianza para asegurar la integridad de sus datos personales y sistemas, porque al parecer Microsoft no lo hará.

¿Crees que la vulnerabilidad de Windows es tan importante?