MundoInformática » Parches de seguridad de Microsoft: ¿De verdad solucionan los problemas?

Tiempo estimado de lectura 4:18 min. rellotge

Parches de seguridad de Microsoft: ¿De verdad solucionan los problemas?

Los problemas de seguridad existen, y es algo que todos conocemos. Ya sea en servidores o en aplicaciones de usuario, estamos expuestos a muchas vulnerabilidades de las que a veces no somos conscientes.

Pero, para nuestra tranquilidad, los desarrolladores de software se preocupan y están atentos a cada problema, proporcionándonos parches que solventan el problema o nuevas versiones que corrigen la vulnerabilidad… ¿siempre?

Microsoft es todo un experto en estos menesteres. Sabemos que su software (su sistema operativo Windows) es el más utilizado entre los usuarios domésticos (aproximadamente el noventa por cierto de los ordenadores personales domésticos tienen este programa instalado) y como dijo Stan Lee, “un gran poder implica una gran responsabilidad”.

Su responsabilidad es la de mantener un sistema estable y seguro, proporcionando a los usuarios las herramientas necesarias para que nuestro ordenador siga siendo sólo nuestro. Esto se consigue minimizando el tiempo que transcurre desde que se descubre un error, hasta que el parche o la nueva versión está disponible para el público. En el mundo del software no propietario, código libre y gratuito, este espacio de tiempo es mínimo, mientras que, para Microsoft, resulta una de sus asignaturas pendientes, pues entre su navegador “Internet Explorer” (un completo desastre con respecto a la seguridad), su servidor web IIS, y su sistema operativo, prácticamente no da abasto para cubrir tanta necesidad. Últimamente apenas sabe dónde va a acudir ante tanto problema de seguridad. Mostremos algunos ejemplos.

Un parche publicado por Microsoft hace algunas semanas para Windows XP, destinado a mejorar las funciones de VPN (”Virtual Private Network”), en concreto la manera en la que el sistema operativo maneja IPSec, podía bloquear la conexión a Internet de ciertos usuarios que tuviesen firewalls personales instalados, debido a un error en su programación y a la interacción con el cortafuegos.

El parche que Microsoft publicó para evitar la vulnerabilidad relacionada con el protocolo WebDAV, descubierta hace unos meses y que ponía en peligro a todos los servidores web con IIS y Windows 2000 instalado, sufría a su vez de un problema que, según la versión, podía llegar a bloquear el ordenador donde hubiese sido aplicado. Microsoft tuvo que publicar una nueva versión del boletín de seguridad en el que confirmaba la incompatibilidad del parche con otros doce ya existentes para dicho sistema operativo. Este problema se vuelve especialmente grave cuando hablamos de que los servidores web suelen pertenecer a empresas que basan su negocio en su imagen en Internet, y una caída de sus sistemas puede representar mucho dinero, en pérdidas reales y en potenciales clientes.

En el boletín de seguridad MS02-023 (publicado en Mayo de 2002 y actualizado en Febrero de 2003), Microsoft recomendaba a todos sus usuarios la aplicación de un parche de seguridad acumulativo para su navegador Internet Explorer, que arreglaba seis graves problemas de seguridad.
GreyMagic Software, entre otras organizaciones, publicó que la solución propuesta por Microsoft derivaba en nuevos problemas incluso más graves que los anteriores, pues no se atacaba directamente a las raíces del diseño, sino sólo a sus síntomas. Otros expertos, por su parte, afirmaban también en Bugtraq (lista oficial donde se publican y discuten problemas de seguridad informática) que incluso con la aplicación del parche, se podía seguir leyendo cookies remotas en el navegador, otra de las vulnerabilidades que se supone resolvía.

Para el problema de seguridad que dejó la puerta abierta al virus Blaster, Microsoft tuvo un comportamiento que bien podría se calificado de bochornoso, cutre y propio de principiantes. Con el primer parche de seguridad, no consiguieron solucionar el problema en el protocolo RPC, causa raíz del problema. Poco después de su publicación se descubrió que con unos mínimos cambios en el código del programa que aprovechaba el fallo (que se convirtió en virus), el sistema volvía a ser vulnerable. Entonces Microsoft sacó un parche para el parche, con la intención de solucionar el problema que ellos mismos no habían sabido solucionar. A los pocos días, también fuimos testigos de una situación caótica. En algunos sistemas operativos en ciertas lenguas (entre ellas el español) el parche desestabilizaba el sistema, volviéndolo poco fiable. Necesitaron de un tercer parche para poder corregir este error, y aun así, algunos expertos piensan que el fallo original en RPC todavía es aprovechable para provocar ciertos daños en la víctima.

En Septiembre se descubrió un gravísimo problema de seguridad en el navegador Internet Explorer. La forma de crear un exploit podía ser llevada a cabo con éxito de tres maneras distintas. El parche acumulativo con el que Microsoft pretendía solucionar el fallo (el MS03-32), demostró ser ineficaz, pues sólo remediaba el error en uno de los casos, y dejaba el campo abierto para que pudiese ser explotado de otras maneras igual de sencillas. El caso es que pasaron varias semanas sin que existiera un parche efectivo que solventara el fallo, y Microsoft dejaba en manos de los propios usuarios del navegador la búsqueda de una solución, que consistía en deshabilitar los ActiveX de su navegador, manipular el registro, usar cortafuegos a nivel de red… y peor aún, creándoles una falsa sensación de seguridad, porque muchos no podían saber que el parche que aplicaron no era totalmente efectivo.

Microsoft ha cambiado de estrategia en varias ocasiones con respecto al sistema de dispensación de parches. Hace poco pensó que sería mejor para todos publicar un sólo mega-parche al mes, que contuviera todos las soluciones a las vulnerabilidades descubiertas durante ese periodo. Poco le ha durado la iniciativa, en cuanto algunos usuarios y sobre todo, profesionales, no están en absoluto de acuerdo con la idea de tener que demorar un máximo de treinta días la solución de seguridad que puede suponer un grave problema de intrusión en sus sistemas. Estos mismos profesionales son los que, con el tiempo, han tenido que contener sus ganas de lanzarse a instalar los parches antes de estar debidamente probados y estudiados en sistemas de prueba, pues la experiencia les dice que no siempre pueden resultar ser tanto la solución como una nueva fuente de problemas.