Una API oficial de Windows es vulnerable a ataques de Path-Traversal

  • Vulnerabilidades

El fallo se encuentra en la funcionalidad "PathCchCanonicalize", utilizada por Microsoft para solventar una vulnerabilidad en el RDP que protege contra un tipo de ataque conocido como Path-Traversal, el cual puede ser utilizado para obtener acceso a información sensible del sistema.

Los investigadores de Check Point Software Technologies alertan sobre una vulnerabilidad en una función de Windows que protege contra un tipo de ataque conocido como Path-Traversal. Esa función se denomina "PathCchCanonicalize", y representa la API oficial que Windows recomienda a los desarrolladores para aumentar los niveles de defensa contra los ataques de Path-Traversal.

Recomendados: 

WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro 

WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Path-Traversal es un tipo de ataque mediante el cual un ciberdelincuente engaña a una aplicación para que lea y posteriormente divulgue el contenido de los archivos fuera del directorio original de la aplicación o del servidor web. Por tanto, este tipo de amenaza ofrece al ciberdelicuente la capacidad de moverse libremente entre los directorios de un equipo, pudiendo modificar archivos críticos como programas, descargar archivos de contraseñas, exponer el código fuente de la aplicación web o ejecutar potentes comandos en el servidor web, dejándolo completamente expuesto.

la investigación parte de 2019, cuando los investigadores de Check Point revelaron vulnerabilidades en el Remote Desktop Protocol (RDP) de Microsoft, que permitían que, una vez que el ordenador era infectado con malware, este podría tomar el control de las actividades de cualquier otro usuario que intentara acceder a él. Los investigadores llamaron a este vector de ataque “Reverse RDP” porque un usuario de RDP piensa que está controlando un ordenador de forma remota, pero el fallo demuestra que lo inverso es lo contrario.

Microsoft emitió rápidamente un parche de seguridad para solventar este fallo, pero en octubre de 2019, los investigadores de Check Point descubrieron que tenía fallos de seguridad, lo que les permitió recrear el exploit original. Los expertos de la compañía descubrieron que Microsoft había utilizado "PathCchCanonicalize" como solución, lo que les permitió concluir que algo no funcionaba bien en la API. Check Point reveló estos hallazgos a Microsoft, y la compañía publicó un nuevo parche de seguridad en febrero de 2020. Sin embargo, todos los programas que usaron esta funcionalidad son vulnerables frente al mismo tipo de ciberataque.

"Esta investigación arroja dos conclusiones: la primera es que el equipo IT de las grandes empresas que usan Windows deben instalar el parche de febrero de Microsoft para asegurarse de que aquellos clientes con los que utilicen RDP están protegidos contra la vulnerabilidad que descubrimos en 2019. La segunda, es que los desarrolladores deben tener en cuenta que Microsoft olvidó reparar la vulnerabilidad en su API oficial, por lo que todos los programas utilizados de acuerdo con guía de mejores prácticas de Microsoft seguirán siendo vulnerables a un ataque de “Path-Traversal. Por tanto, es fundamental que apliquen un parche de seguridad de forma manual para garantizar que están protegidos”, señala Omri Herscovici, jefe de equipo de investigación de vulnerabilidades de Check Point.