Los poseedores de un portátil Samsung tienen que actualizar cuanto antes

Los poseedores de un portátil Samsung tienen que actualizar el software de la compañía cuanto antes, debido a una vulnerabilidad descubierta que podría permitir a un atacante enviar programas a una víctima y obtener control total sobre su ordenador.

El origen de la vulnerabilidad está en una herramienta llamada Samsung SW Update Tool 2.2.5.16, diseñada para mantener los drivers del portátil y el software de la compañía surcoreana al día. El investigador que descubrió la vulnerabilidad trabaja en Core Security y la detectó en noviembre del año pasado, sin embargo no la dio a conocer hasta el 4 de marzo del presente año para que Samsung pudiese desarrollar el parche. El mismo investigador ha comentado que “esta vulnerabilidad podría ser considerada como una amenaza media o baja para la mayoría de los portátiles Samsung”.

La mayoría de los modelos afectados utilizan Windows, concretamente las versiones 7, 8 y 10 del sistema operativo de Microsoft. Si no se tiene Samsung SW Update Tool al día, se recomienda actualizarlo cuanto antes, independientemente de la versión anterior que se esté utilizando, aunque desde Core Security reconocen que no han probado versiones anteriores, desde la empresa de seguridad sospechan que estas también pueden estar afectadas.

El fallo permite a los atacantes realizar ataques man-in-the-middle, debido a que Samsung no hace ningún intento de cifrar o autenticar el tráfico entre la herramienta de actualización y los servidores de Samsung. Para explotar la vulnerabilidad se tiene que realizar una suplantación de DNS, que enruta el tráfico web desde la víctima hasta el sistema atacante. Debido a que muchos actualizan el software de Samsung de forma automática, estos podrían no enterarse de que son víctimas de un ataque. Esta situación recuerda un poco a la polémica de Superfish.

A través del ataque man-in-the-middle se puede interceptar la petición de un fichero XML que contiene el modelo ID de cada driver solicitado. En dicho fichero XML hay una etiqueta llamada “FURL” que contiene las URL de los ficheros que tienen que ser descargados y ejecutados por la aplicación. Sin embargo, no hay ninguna verificación por parte del propio software sobre los ficheros descargados, esto permite al atacante modificar fácilmente el fichero XML con el fin de conseguir ejecutar código en la máquina de la víctima.

Samsung, que no ha hecho ningún comentario sobre este tema, liberó el mismo día 4 una actualización de software, siendo la última versión y la que corrige el fallo la 2.2.7.20. Ahora el tráfico HTTP generado a través de la herramienta está cifrado y autentica la comunicación para poner salvaguardias, que impiden la instalación de ficheros que no hayan sido pedidos por la herramienta de actualización.

Una vez más nos encontramos con que el software preinstalado por los fabricantes termina generando preocuaciones para los usuarios, y es que cuantas más aplicaciones haya instaladas en el sistemas operativo, más posibilidades de tener algún fallo de seguridad hay.

Aquellas personas que tienden a reinstalar Windows desde cero sin el software del fabricante o bien instalen algún sistema alternativo como Ubuntu no tienen de qué preocuparse.

Fuente | ThreatPost