La falla de seguridad FREAK también afecta a Microsoft Windows


FREAK, la vulnerabilidad en el sistema de cifrado detectada hace unas semanas en navegadores de Apple y Google y en un gran número de servidores y sitios Web de todo el mundo, también afecta a Microsoft Windows, de acuerdo con lo informado ayer por la propia compañía basada en Redmond (EE.UU.).

winroto

Según un reporte de seguridad publicado el jueves 5 de marzo, se notificó que los expertos en seguridad habían detectado la falla en el paquete de seguridad Secure Channel (Schannel), y que la misma afecta a todas las versiones compatibles del sistema operativo Windows, desde el Windows Server 2003 Service Pack 2 hasta el Windows RT 8.1.

El paquete Schannel es el proveedor de compatibilidad con seguridad (SSP) que se encarga de implementar los protocolos de autenticación estándar de Internet SSL/TLS para cifrar la carga útil de datos, con la finalidad de proporcionar comunicaciones seguras entre un cliente y el servidor.

Esto significa que, al estar presente en Schannel, FREAK podría permitir a un atacante forzar la degradación de las suites de cifrado utilizados en una conexión SSL/TLS sobre un sistema cliente de Windows.

Cabe recordar que con el nombre de FREAK ((Factoring attack on RSA-EXPORT Key) se hace referencia a una serie de algoritmos de cifrado RSA débiles que inicialmente habían sido detectados en clientes de protocolos de seguridad OpenSSL y SSL/TLS que pueden ser explotados por ataques “Man-in-the-middle”.

En otras palabras, si un servidor web utiliza esta clase de cifrados vulnerables, un tercero puede romperlos, engañar al navegador y suplantar al cliente vulnerable, siendo capaz de interceptar sus comunicaciones y transmisiones de datos sensibles, e incluso secuestrar elementos de las páginas.

La inclusión de dichos estándares fáciles de quebrantar se atribuye a la antigua legislación estadounidense (ya derogada), que prohibía a las compañías tecnológicas de ese país exportar sus conjuntos de cifrados más fuertes, con el fin de permitir que las agencias de seguridad pudieran descifrar todas las comunicaciones codificadas del extranjero.

FREAK en Windows: Parches y soluciones provisionales

Según comunicó la central de seguridad de Microsoft, se está trabajando para proteger a los clientes de esa vulnerabilidad, lo que podría incluir el desarrollo de una solución que se incorpore a la actualización de seguridad mensual de Windows, o en una actualización de seguridad fuera de ciclo, “en función de las necesidades del cliente”.

Hasta que esa solución esté disponible, Microsoft recomienda una serie de medidas provisionales que incluyen deshabilitar los sistemas de cifrado RSA de exportación. Si bien esto no elimina el problema de fondo, ayuda a bloquear posibles ataques que aprovechen de FREAK.




Ruben

Rubén es editor del sitio desde el año 2010. Colabora regularmente escribiendo noticias sobre tecnología, software, negocios, gadgets y ciencia. Sus intereses son Tecnología y Relaciones internacionales, tópico con el que también colabora en otros medios de publicación web.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *