Microsoft parchea vulnerabilidad crítica en Windows 10, que no afecta a Windows 7

Microsoft ha publicado el conjunto de parches de seguridad mensual donde destaca una vulnerabilidad crítica en Windows 10, que también afecta a Windows Server 2016 y según la NSA quien la ha descubierto «amenaza las bases sobre las que opera Internet». Curiosamente, la vulnerabilidad no afecta a Windows 7 y coincide con el final de su soporte técnico. 

La vulnerabilidad está etiquetada como CVE-2020-0601 y radica en un componente de Windows llamado crypt32.dll, que maneja las funciones de certificados y mensajería criptográficas», según Microsoft. Una vulnerabilidad en esa área podría afectar a la autenticación en ordenadores cliente y servidores de Windows, los datos confidenciales de los navegadores Internet Explorer y Edge de Microsoft y otras muchas aplicaciones de terceros.

Los piratas informáticos también podrían usarlo para falsificar firmas digitales, haciendo que piezas de malware preparadas al efecto parecieran una aplicación legítima y falsificar identificaciones de confianza, como individuos, sitios web, compañías de software, proveedores de servicios u otros. «Este tipo de vulnerabilidad puede sacudir nuestra creencia en la fortaleza de los mecanismos de autenticación criptográfica y hacernos cuestionar si realmente podemos confiar en ellos. Afortunadamente podemos. CVE-2020-0601 refleja una debilidad en la implementación de un aspecto sutil de la validación del certificado PKI. La tecnología y los estándares son sólidos. Es una implementación que necesita reparación», describen en la alerta de seguridad de la NSA.

La vulnerabilidad crítica en Windows 10 «plantea un riesgo significativo para empresas y usuarios que dependen de este protocolo», dicen. Si bien existen medios para detectar o prevenir algunas formas de explotación, ninguna de ellas es completa o totalmente confiable. Por ello, la aplicación del parche es el único medio integral para mitigar el riesgo y se recomienda aplicarla con urgencia.

De hecho, Microsoft lanzó anteriormente un parche de software para clientes críticos de Windows 10, incluido el gobierno y las agencias estadounidenses y administradores de infraestructura clave de Internet. No se conoce desde cuando conoce la NSA la vulnerabilidad, aunque se cree que todavía no ha sido explotada.

No deja de ser paradójico que conozcamos esta vulnerabilidad el mismo día que finaliza el soporte técnico de Windows 7 y cuando Microsoft se está esforzando en convencer a usuarios y empresas de la necesidad de actualizar a Windows 10 señalando el apartado de la seguridad como una de sus grandes ventajas. Hay que mencionar que en realidad esta vulnerabilidad crítica no afecta a Windows 7.