Mucha atención, porque los usuarios que tengan una notebook Samsung, tendrán que actualizar el software de la compañía lo más rápido posible. Se trata de una vulnerabilidad que deja al descubierto un fallo de seguridad en el cual los atacantes podrían enviar programas a una víctima y obtener el control total del equipo. Desde la firma surcoreana han confirmado que ya se encuentra disponible un parche correctivo y es necesario descargarlo para no tener el equipo vulnerable.
La vulnerabilidad se encuentra alojada en la herramienta para actualizar los drivers y el software de la firma, el programa Samsung SW Update Tool 2.2.5.16. El responsable del descubrimiento es un investigador que pertenece a la firma Core Security, detectándola el pasado noviembre de 2015, pero no quiso sacarla a la luz hasta el 4 de marzo, fecha en la que Samsung sacó la actualización que soluciona el inconveniente. A diferencia de otras compañías, este investigador de seguridad avisó a Samsung sobre el fallo y esperó una solución para informar su descubrimiento, así todos tendrían la posibilidad de estar protegidos. Recordemos que firmas como Google avisan a la compañía y si la incidencia no se soluciona luego de un tiempo, la hacen pública para el conocimiento de las personas dejando la puerta abierta a que un cibercriminal se aproveche.
“Esta vulnerabilidad podría ser considerada como una amenaza media o baja para la mayoría de los equipos Samsung”, explica Joaquín Varela, Investigador Senior en Core Security. En cuanto a los modelos que están en riesgo, se informa que todos los que utilicen Windows 7, 8 y 10, si los equipos no tienen la herramienta Samsung SW Update Tool actualizada, se recomienda hacerlo a la brevedad muy a pesar de la versión anterior que se esté utilizando, no obstante desde Core Security afirman que no tuvieron la oportunidad de chequear otras versiones, así que no descartan que esas otras también estén siendo afectadas.
Adentrándonos más en lo que es el fallo de seguridad, permite a los atacantes realizar ataques man-in-the-middle, aprovechándose de que Samsung no hace ningún tipo de conexión cifrada o de autenticar el tráfico entre su herramienta de actualización y sus servidores. Esto hace que cualquier atacante pueda interceptar el tráfico para introducir malware al equipo de la víctima. Para explotar la vulnerabilidad los atacantes deberían hacer una suplantación de DNS enrutando el tráfico web desde la víctima hasta el sistema del atacante, el problema yace en que esta herramienta actualiza el software de Samsung automáticamente y no se enterarían de que están siendo atacados.
El fallo de Samsung es que un atacante mediante un man-in-the-middle puede interceptar la petición de un fichero XML que tiene el modelo ID de cada driver solicitado. Dentro de ese fichero se aloja una etiqueta llamada “FURL” que contiene las URL de los ficheros que se descargarán y serán ejecutados por la herramienta de actualización de Samsung. Lo que preocupa es que no hay ningún paso que verifique que lo que estamos descargando sea directamente desde los servidores de Samsung, y es allí donde el atacante podría modificar ese fichero XML a su gusto para introducir código malicioso en el equipo de su víctima, gracias a la configuración que trae por defecto de actualizar el software automáticamente.
El gigante surcoreano, Samsung, no ha emitido ningún informe sobre lo sucedido, solo se limitó a publicar el 4 de marzo una actualización de software, más específicamente la 2.2.7.20 la que corrige el fallo de seguridad y en adelante no tendrá más problemas. Según el investigador de Core Security, Joaquín Varela, ha podido testear la nueva versión y explica que Samsung ahora encripta el tráfico HTTP entre la herramienta y sus servidores, así como también agrega una autenticación para corroborar que los archivos descargados son los que en definitiva se solicitan mediante la herramienta de actualización. Esto da una total garantía a los usuarios, ahora pueden estar tranquilos que las comunicaciones no serán interceptadas y se descargarán en sus equipos las verdaderas actualizaciones para sus componentes.
Recuerda que la versión oficial parcheada es la 2.2.7.20 y puede ser descargada del sitio web oficial de Samsung: http://www.samsung.com/es/support/. Solo tienes que buscar tu producto y modelo para acceder a las descargas correspondientes.
Por suerte ya está todo solucionado, pero otra vez un software proporcionado por el fabricante vuelve a poner en peligro a sus usuarios, algo muy parecido al caso de Lenovo y su adware Superfish. Las herramientas preinstaladas en los equipos suelen tener a menudo vulnerabilidades, y son cada vez más las que vienen por defecto, lo que hace que el equipo se vea en riesgo. Cabe recalcar que las personas que no tengan Windows 7, 8 o 10 instalado de fábrica no tienen este problema, ya que pasaron por un formateo y no cuentan con la herramienta de Samsung, así como los usuarios que utilicen otro sistema operativo se encuentran a salvo.