Microsoft demora el Patch Tuesday y la vulnerabilidad en SMB sigue abierta


Además del Día de los Enamorados, ayer fue el segundo martes de febrero y eso significa que debió haber salido el paquete mensual de actualizaciones de Microsoft. Pero la compañía decidió demorar este Patch Tuesday y todavía no comunicó la fecha en que pondrá a disposición de los usuarios los parches de seguridad correspondientes, lo cual nos deja preocupados considerando que sigue abierta la vulnerabilidad en el manejo de tráfico SMB para la cual se publicó un exploit la semana pasada.

Un breve mensaje del Microsoft Security Response Center (MSRC) decía:

Nuestra prioridad principal es proveerles la mejor experiencia posible a los clientes para mantener y proteger sus sistemas. Este mes, descubrimos un problema de último minuto que podría afectar a algunos usuarios y no se resolvió a tiempo para nuestras actualizaciones planificadas para hoy.

Tras analizar todas las opciones, tomamos la decisión de retrasar las actualizaciones de este mes. Pedimos disculpas por cualquier inconveniente causado por este cambio de planes.
Hasta el momento no hay más información ni explicaciones, por lo que deberemos esperar novedades para saber cuándo se corregirá la mencionada vulnerabilidad. Se trata de un error de corrupción de memoria en el manejo del tráfico SMB, que podría permitirle a un atacante remoto ejecutar un ataque de denegación de servicio, de modo que los servidores vulnerables colapsen. La falla tiene una severidad de 7,8 en la escala CVSS.

Desde octubre de 2016, Microsoft cambió su programa de actualizaciones para Windows 7 y 8.1 a un modelo “acumulativo” similar al de Windows 10, haciendo que múltiples parches se implementen juntos en una misma actualización mensual, en vez de lanzar parches individuales para sus distintas plataformas. Si bien esto facilitó la gestión de la seguridad en muchos aspectos, tal como señala Infosecurity Magazine, el problema en este caso radica en que un único problema de seguridad (como esta vulnerabilidad) no puede ser corregida en forma individual, y si hay un inconveniente con un parche, todos los demás se ven demorados. Este pareciera ser el caso: ¿será que los ingenieros de la compañía todavía no dieron con la forma de solucionar esta falla?

Otra hipótesis propuesta por Johannes Ullrich, el fundador del Internet Storm Center del SANS, sugiere que la demora podría estar relacionada a otro hecho: el reemplazo de los tradicionales boletines de seguridad por una base de datos de actualizaciones navegable, llamada “Security Updates Guide“, la cual debía salir ayer. “Es posible que este cambio en el proceso haya causado la demora”, dijo. La plataforma está activa, pero quizá hubo problemas técnicos al migrar a este nuevo modelo.

No lo sabemos a ciencia cierta, y la compañía no dio más detalles a los portales que pidieron más comentarios sobre esta decisión.

Por ahora, entonces, queda esperar la solución. Como medida preventiva, es posible bloquear las conexiones SMB salientes de la red local a WAN (puertos TCP 139 y 445 junto con los puertos UDP 137 y 138).