¿Dónde están las debilidades de Windows 8?

Windows 8 es más seguro, pero los investigadores ya estudian sus puntos flacos y han ofrecido alguna de sus impresiones durante la conferencia de seguridad Black Hat que la semana pasada se celebró en Las Vegas.

Hay al menos tres puntos de ataques en Windows 8 que producirían vulnerabilidades que podrían ser explotadas. Así lo aseguraba Sung-ting Tsai, investigador de Trend Micro, durante la conferencia de seguridad Black Hat que la semana pasada se celebró en Las Vegas.

Prometedores son los métodos para evadir algunas de las disposiciones de seguridad que Microsoft ha incorporado en su nuevo sistema operativo.

El primero se centra en las limitaciones de las aplicaciones estilo Metro en Windows 8 que les impiden acceder a Internet. Más que intentar romper dichas restricciones, una aplicación podría acceder a otra que tuviera tales permisos. Es decir que la aplicación a la que se le impidiera acceder a internet, podría enviar mensajes a la web a través de Internet Explorer o Microsoft Media Server. Una vez que haya accedido a Internet, una aplicación falsa podría cargar datos desde una máquina local a otra en internet controlada por un atacante.

La respuesta de Microsoft a la afirmación de Sung-ting Tsai es que no hará nada al respecto. Para la compañía de Redmond el acceso a Internet sería visible tanto para el usuario como para los productos antivirus, y una vez que este tipo de actividad llega a los oídos de Microsoft, se podría eliminar la aplicación de las máquinas de los usuarios.

Claro que la respuesta no es del gusto del investigador de Trend Micro, quién aseguró durante el Black Hat que cuando un usuario vea que una aplicación de Metro lanza el Messenger, no sospechará de que la aplicación está intentando acceder a Internet, e incluso si sospechara algo, sería difícil saber si se trata de una conducta normal o maliciosa, y los programas antivirus podrían tener el mismo problema.

Otra posible trampa para evitar los sistemas de seguridad de Windows 8 es utilizar la línea de comandaos cmd.exe dentro del sandbox para activar otro ejecutable que esté fuera de ese contenedor. De nuevo Microsoft asegura que el problema no es tanto, y Tsai está de acuerdo en esta ocasión aunque afirma que junto con otros ejecutables se podrían explotar otras vulnerabilidades.

Otra posibilidad que ha explorado el investigador de seguridad es el llamado “dll hijacking”, o insertar código malicioso que se disfrace como la DLL que la aplicación está buscando. Tsai dice que Internet Explorer carga algunos archivos DLL que ya no necesita y que si se supieran los nombres de esos archivos, podrían utilizarse para disfrazar programas maliciosos que cargaría el ordenador.

Tsai dice que una característica de programación de las aplicaciones, que permite que accedan a carpetas y archivos a los que normalmente no tienen acceso, de Windows 8 Metro podría explotarse. Esto significa que podrían robar datos y enviarlos a los atacantes.

Como norma, las aplicaciones Metro pueden acceder sólo a archivos y carpetas de documentos, vídeos, música y fotos. Pero los desarrolladores de aplicaciones pueden  incluir excepciones y que las aplicaciones accedan también a la carpeta de Descargas, donde se le podría encargar para que descargara un archivo maliciosa que permita a la aplicación acceder a otros archivos y carpetas. Según Microsoft, es una característica de los desarrolladores, y  no una vulnerabilidad, y además está bajo el control de los usuarios, de forma que no se trata de una amenaza.