De un modo silencioso, Microsoft ha liberado una actualización para resolver una seria vulnerabilidad que afecta a cientos a millones de computadores con Windows 10 y versiones anteriores. El fallo se encuentra en el componente CryptoAPI (Crypt32.dll), encargado de validar los certificados ECC.

El fallo fue descubierto por la Agencia de Seguridad Nacional de EE.UU. (NSA), en la cual su directora Anne Neuberger, llevó a cabo una teleconferencia con los medios en la que se informó de esta vulnerabilidad y la solución que será ofrecida por medio de un parche de seguridad disponible a partir de hoy.

La descripción oficial indica que un atacante podría aprovechar la vulnerabilidad para firmar un ejecutable con código malicioso y hacerlo pasar como si viniera de una fuente legítima. El usuario no tendría forma de saberlo, ya que la firma digital parecería ser de un proveedor confiable.

De acuerdo con Neuberger, la NSA notificó a Microsoft de este fallo, por lo que es la primera vez que se acreditará a la agencia de seguridad por informar de una falla de seguridad. Los investigadores de la dependencia gubernamental descubrieron la vulnerabilidad y que a la fecha no hay reportes de que haya sido aprovechada.

KrebsonSecurity reporta que este componente se liberó por primera vez en Windows NT 4.0, por lo que es probable que todas las versiones de Windows lanzadas en los últimos 20 años serían vulnerables.

Lo anterior no ha sido confirmado por Microsoft o la NSA, ya que el documento oficial indica que la vulnerabilidad afecta a Windows 10 y Windows Server 2016/2019, para los cuales se han liberado los parches correspondientes.

Tampoco se sabe cuándo fue descubierto por la agencia de seguridad o si ésta sacó provecho del mismo para llevar a cabo operaciones de espionaje. Recordemos que con WannaCry y NoPetya, la NSA conoció cinco años antes la vulnerabilidad que afectaba a Windows y no lo comunicó a tiempo a Microsoft.