El primer fallo de seguridad importante de Windows 10 en 2020 fue reportado hace unos días. Eso no frenó a que un experto en seguridad aprovechara la vulnerabilidad para aplicar un "Rickroll" en los sitios web de la NSA y GitHub.
De acuerdo con ArsTechnica, Saleem Rashid, un investigador de seguridad, tuiteó el miércoles imágenes del famoso video de Rick Astley reproduciéndose en las páginas mencionadas. Esto fue posible gracias a un exploit que falsifica los sitios web verificados por HTTPS y puede ejecutarse en Chrome, Microsoft Edge y otros navegadores derivados.
CVE-2020-0601 pic.twitter.com/8tJsJqvnHj
— Saleem Rashid (@saleemrash1d) January 15, 2020
Este exploit es una prueba de concepto de Saleem para demostrar el alcance de la vulnerabilidad CVE-2020-0601, descubierta por la NSA y reportada oficialmente a principios de esta semana. El investigador logró el rickroll a unas horas de haberse revelado el fallo, y a pesar de que un ataque a gran escala suena más complejo, la realidad es que esta vulnerabilidad es seria.
Un script de apenas 100 líneas de código sería suficiente para generar un certificado confiable para cualquier sitio web que navegadores como Edge, Chrome o el mismo Internet Explorer resolverían sin problemas. La solución a esto es instalar el parche de seguridad liberado por Microsoft. De igual modo, Google dijo que ya cuenta con una solución para Chrome que se está probando en la beta y que llegará pronto a la versión estable.
Lo anterior también nos hace cuestionar si es válido revelar una vulnerabilidad a la par que se libera una actualización de seguridad. El tiempo que tarda el usuario en actualizar su equipo puede ser aprovechado por agentes maliciosos.
Este tema ha sido abordado recientemente por el Project Zero, quien ha ajustado sus políticas para brindar 90 días a las empresas como plazo para divulgar las vulnerabilidades. En caso de que la solución llegue antes, las compañías de software aprovecharían esa ventana de tiempo para distribuir los parches correspondientes.