Un caos por los parches de Microsoft

Un caos por los parches de Microsoft

CIO

Bienvenido a otro martes de parches. Microsoft lanzó ayer 56 parches de seguridad identificados por separado para cada versión compatible de Windows, Office,.Net, Internet Explorer y Edge. Fuera de esa pila monstruosa, solo un parche cura un problema actualmente explotado, una falla en el Editor de ecuaciones de Word que debería haberse arreglado en noviembre.

Si eres un usuario “normal”, tu primera prioridad no deben ser los parches de Microsoft, a pesar del fabuloso trabajo de relaciones públicas realizado sobre el asunto de Meltdown y Spectre.Suponiendo que no abras documentos Word al azar con ecuaciones incrustadas, tu principal preocupación en este momento debería ser poner tu antivirus en orden.

Tu máquina no se va a fundir. Nadie te atrapará con Spectre. Tu PC de hace 3 años no va a convertirse en una pila de lodo, a pesar de lo que dice Microsoft. En cambio, los hechos apuntan a algo mucho más prosaico: ahora sería un buen momento para poner tu antivirus al día. Eso es todo.

Lea también:Lo nuevo en Visual Studio Code de Microsoft

Las estadísticas

Para estar seguro, el martes de parches de este mes es formidable. El oficial (e inutilizable) resumen de actualizaciones de seguridad enumera 93 parches. El resumen de SANS llamado Internet Storm Center (mucho más útil) muestra 56 agujeros de seguridad “CVE” parcheados. Martin Brinkmann en Ghacks.net enumera todos los parches en forma legible por humanos, con descripciones y enlaces. Él también ha replicado la hoja oficial de parches, que contiene 1.073 parches identificados por separado.

El único factor común: además del parche reparado del Editor de ecuaciones, ninguno de los parches de este mes aborda un agujero de seguridad explotado conocido.

Del lado de Windows, estamos viendo un nuevo anuncio de todos los parches Meltdown/Spectre que comenzaron a aparecer el 3 de enero. Esos parches fueron actualizados el 4 de enero y muchos nuevamente el 9 de enero. Algunos de ellos (incluido el parche de seguridad KB 4056898 de Windows 8.1) han sido lanzados y relanzados, sin explicación. Todos ellos tienen una mala costumbre de brickear procesadores AMD como Athlon, Sempron, Turion, Opteron, Phenom y algunos Ryzen (lista detallada en TechArp).

El hecho es que no hay exploits conocidos para Meltdown o Spectre en la naturaleza. El apuro por instalar los parches para Meltdown/Spectre dio como resultado miles (¿decenas de miles? ¿cientos de miles?) de PCs AMD brickeadas y horas incalculables de esfuerzo desperdiciado, todo sin ningún beneficio. Sin embargo, casi todos los informes de noticias están repitiendo lo mismo “el cielo se cae/parchea ahora”

En cuanto a Office, Microsoft enumera 36 parches de seguridad y 25 parches que no son de seguridad, incluidos una gran cantidad de parches para Office 2007.Eso es sorprendente porque Office 2007 alcanzó el fin del soporte extendido en abril de 2017.También tenemos nuevas versiones de Office 2010 Click-to-Run (14.0.7193.5000) y Office 2013 Click-to-Run (15.0.4997.1000). La versión 1711 de Office 365 se encuentra en la Build 8730.2175.
También tenemos tres avisos de seguridad:
ADV180001 – Actualización de seguridad
ADV180002 – Aviso de Meltdown/Spectre
ADV180003 – Defensa de Office en profundidad

Y tenemos la lista de parches a través de Windows Update y WSUS. Para aquellos que intentan mantener sus servidores funcionando, no se olviden de mirar las pautas de KB 4072698 para activar manualmente las protecciones, si eres lo suficientemente atrevido. Y si ve docenas de parches de Office repetidos en su servidor WSUS, estás buscando un error. Lo hemos visto durante meses, @abbodi86 en AskWoody :

Lanzan cada lenguaje en un parche separado, por lo que en WSUS/Catalog cada lenguaje tendrá 2 entradas, 32 bits/64 bits. Me pregunto por qué no empaquetaron todos los lenguajes en una sola actualización, como siempre lo hacen.
Esa es una gran cantidad de información para absorber, pero para la mayoría de las personas, solo hay dos puntos de partida: si abres Word con los componentes del Editor de ecuaciones comprometidos, puedes salir afectado. Y necesitas poner tu antivirus al día.

Sí, hay ejemplos de exploits de Meltdown y Spectre en la web, pero no están cerca de ser amenazas perjudiciales para la gran mayoría de los clientes de Windows.Cuando finalmente se concreten, supongo que veremos las primeras violaciones venir a través de navegadores web, o servidores de gran importancia en las industrias bancarias, militares o de criptomonedas, y no en programas de fusión que se ejecutan en máquinas individuales.

Si está viendo los parches de este mes desde el punto de vista de un administrador, échale un vistazo a los consejos de Ed Bott en ZDNet:

La primera orden del día es: no entrar en pánico. A la prensa tecnológica le encanta tratar los incidentes de seguridad como este como apocalípticos, pero la realidad es que tienes tiempo para diseñar una respuesta integral.

La falla del Editor de ecuaciones

Aquellos de ustedes que hayan seguido el asunto se sorprenderán de ver al Editor de ecuaciones en la línea de fuego. Después de todo, Microsoft corrigió el agujero de seguridad del editor de ecuaciones en noviembre, ¿no?

Bueno, no. Pensó que había corregido el Editor de ecuaciones con el parche para el error CVE-2017-11882 en noviembre, pero apareció un nuevo error poco después de que se hiciera esa corrección. El nuevo agujero de seguridad se llama CVE-2018-0802. El blog 0patch presenta pruebas convincentes de que el error CVE-2017-11882 es, de hecho, una pieza maestra de pirateo manual. Parece que Microsoft perdió el código fuente de EQNEDT32.EXE.

Para hacerlo corto: El error CVE-2018-0802 es tan malo (o tal vez Microsoft se dio por vencido manualmente al piratear el ejecutable antiguo) que los parches de este mes simplemente borran el ejecutable EQNEDT32.EXE. Omer Gull y Ben Simon, en Checkpoint, brindan detalles completos de los exploits antiguos y nuevos.

Si aún usas el Editor de ecuaciones, una característica oscura en Word y WordPad que te permite poner ecuaciones en los documentos, hay un hilo en AskWoody que analiza las alternativas. Microsoft recomienda MathType de Wiris Suite.

También ten en cuenta que si te preocupa abrir documentos de Word (o WordPad) con ecuaciones de dudosa procedencia y no deseas instalar los parches de este mes, puede desactivar manualmente el Editor de ecuaciones con un simple cambio en el registro. Microsoft tiene los detalles.

La ralentización aún está por venir

Hay graves advertencias en toda la web de que la instalación de los parches Meltdown/Spectre harán que la rapidez de tu computadora caiga en picada. Todos los (¡cientos!) de advertencias sobre Meltdown se remontan a una publicación del jefe de Windows Terry Myerson, quien dijo :

Con Windows 10 funcionando en el silicio más nuevo (PCs de la era 2016 con Skylake, Kabylake o una CPU más nueva), las pruebas muestran desaceleraciones de un dígito, pero no esperamos que la mayoría de los usuarios noten un cambio porque estos porcentajes se reflejan en milisegundos.
Con Windows 10 funcionando en computadoras con silicio antiguo (PCs de la era 2015 con Haswell o CPUs más antiguos), algunas pruebas muestran desaceleraciones más importantes, y esperamos que algunos usuarios noten una disminución en el rendimiento del sistema.
Con Windows 8 y Windows 7 funcionando en silicio antiguo (PCs de la era 2015 con Haswell o CPUs más antiguos), esperamos que la mayoría de los usuarios noten una disminución en el rendimiento del sistema.

Eso seguro suena fatal: si tienes una computadora de 3 años, tu rendimiento se dirige al abismo profundo, ¿no?

Yo digo… meh. Microsoft ejecutó sus pruebas de rendimiento, y eso es genial. (Obviamente, no incluyó ningún procesador AMD, o habría descubierto el error de brickeo antes). Los resultados son débiles en extremo. Y la conclusión sirve a los propósitos de Microsoft. La conclusión no tan sutil es: “Hicimos lo mejor que pudimos, pero los que se mantengan en Windows 7/8.1 tendrán que comprar una computadora nueva”

No se pierda:¿Es Amazon el nuevo Microsoft?

Yo que me gustaría ver es una confirmación independiente de los resultados por parte de un tercero. Las estadísticas de rendimiento son difíciles. Realmente tienes que medir algo específico o confiar en pruebas que pueden o no reflejar lo que haces cotidianamente. En mi experiencia, una variación del 20 por ciento o más en la velocidad “normal” no es algo realmente perceptible.

Creo que la gran incógnita respecto al rendimiento para la mayoría de la gente está en el navegador, y todavía no tenemos ningún número. Google ni siquiera actualizará Chrome sino hasta alrededor del 23 de enero.Recuerda que Google (y varios otros) descubrieron Meltdown y Spectre.Su respuesta lenta dice cuánto temen a un ataque inminente.

Las interrogantes del antivirus

Gregg Keizer da una explicación completa del problema del tipo “huevo y la gallina” del antivirus en su columna de hoy en Computerworld.Básicamente, debes asegurarte de que tu antivirus permita las actualizaciones de este mes y todas las actualizaciones futuras, antes de intentar instalar los parches de enero.

Si tu antivirus no está a la altura de las circunstancias (consulta la excelente explicación de Kevin Beaumont y su lista negra) o si no deseas pagar por más “protección” de tu antivirus, siempre puedes desinstalar tu antivirus y usar Windows Defender o Microsoft Security Essentials.

Mantén la calma

Repito, perdónenme si han escuchado esto antes, pero no se conocen exploits de Meltdown o Spectre en la naturaleza. Las personas que ejecutan servidores con datos confidenciales (bancos, casas de bolsa, contratistas militares, sitos de intercambio de criptomonedas) deben preocuparse por Meltdown y Spectre en el corto plazo, al darse cuenta de que los datos se pueden interceptar solo si permiten que un programa no autorizado se ejecute en su servidor.

Para todos los demás, es probable que los primeros ataques (si es que los hay) se realicen a través de los navegadores web. Debes reforzar tu navegador tan pronto como la actualización esté disponible: Firefox ya está parcialmente protegido, y el nuevo Chrome arribará el 23 de enero.

Necesita actualizar tu BIOS o UEFI, pero esas correcciones solo están comenzando a implementarse, y no espero ver ninguna piratería de BIOS o UEFI antiguas en el corto plazo. Para empezar, el programa intruso debe estar ejecutándose activamente en tu computadora.

Y si estás preocupado por el agujero de seguridad del Editor de ecuaciones, simplemente cambia las entradas de registro recomendadas por Microsoft.

Lo que estamos presenciando es un show colosal de “el cielo se cae”, ayudado e instigado por personas que van a ganar dinero con estos estragos. No te dejes engañar por la exageración, las relaciones públicas y esos lindos logos. Conoce los hechos, actualiza tu antivirus, cambia las entradas del Editor de ecuaciones si está muy preocupado y listo. Por ahora.

Leave a comment

Send a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *