Microsoft corrige un bug de 15 años en Windows

Más vale tarde que nunca… salvo en informática, por supuesto. Las demoras a la hora de corregir bugs y cubrir brechas de seguridad se pueden pagar muy caro, a menos que el problema haya permanecido dormido por un largo tiempo. Técnicamente no es el bug más antiguo que Microsoft ha corregido en Windows, pero lo que más llama la atención es su importancia para el mundo corporativo, y el hecho de que no será eliminado en Windows 2003, aún estando bajo soporte extendido.

El bug tiene el potencial de permitir a un atacante tomar el control total de un ordenador, y afecta a cualquier usuario que se conecte a una red corporativa utilizando el servicio Active Directory. Este servicio nos acompaña desde Windows 2000, cuyo lanzamiento se llevó a cabo el 17 de febrero del año 2000, casi quince años atrás. En resumen, el bug habilita al atacante a asumir el rol de “hombre en el medio”, y adquirir privilegios de administrador en los sistemas afectados, lo que lleva a la siempre temida ejecución de código remoto. El primer dato curioso sobre el bug es que la gente de JAS Global Advisors y simMachines lo reportó por primera vez en enero de 2014, más de un año atrás.

¿Por qué Microsoft tardó tanto? El sitio oficial de JAS lo explica de manera muy sencilla: A diferencia de otros bugs de alto nivel como Heartbleed y Shellshock, el problema no es de implementación, sino de diseño. En Redmond se vieron obligados a alterar la estructura interna de varios componentes centrales en Windows, al mismo tiempo que realizaron múltiples pruebas de regresión y mantuvieron bajo vigilancia todos los factores de retrocompatibilidad existentes. En otras palabras, el problema era tan avanzado y complejo que demandó todo este tiempo, sin mencionar una absoluta confidencialidad. JAS agregó que el proceso ha sido uno de los mejores ejemplos de “exposición responsable” de vulnerabilidades, lo que en parte suena como un golpe bajo para ya sabemos quién.

La buena noticia es que los parches (plural, uno para corregir y el otro para reforzar) deberían llegar a casi todos los sistemas afectados vía Windows Update, de lo contrario, los administradores (y usuarios interesados) pueden visitar las páginas dedicadas para MS15-011 y MS15-014, y descargar los hotfixes manualmente. Ahora, más arriba dije “casi” todos los sistemas. ¿Quién se queda a mitad de camino? Windows Server 2003. Si bien existe una corrección de MS15-014 disponible, el refuerzo de MS15-011 no verá la luz. La explicación de Microsoft es que la arquitectura requerida para brindar el soporte correcto al parche simplemente no existe en Windows Server 2003. La alternativa sería rehacer una buena parte del sistema operativo, lo cual no va a suceder. A esto se suma el dato de que Windows Server 2003 todavía posee cinco meses de soporte extendido. Imagino que muchas compañías planeaban iniciar sus protocolos de reemplazo en julio, pero con este cambio en las reglas del juego, más de uno va a derretir plomo con la mirada.