Dropbox víctima de una vulnerabilidad día cero que pone en riesgo las instalaciones en los equipos bajo Windows

Dropbox víctima de una vulnerabilidad día cero que pone en riesgo las instalaciones en los equipos bajo Windows
Sin comentarios Facebook Twitter Flipboard E-mail

Nos preocupamos cada día más por la seguridad de nuestros datos y la que ofrecen las aplicaciones y herramientas que utilizamos en nuestros equipos. Ya sea vía PC o móvil o al hacer uso de plataformas basadas en la nube, estamos atentos a cualquier amenaza que pueda surgir al respecto, con Facebook o Twitter como sendos ejemplos.

Ahora es Dropbox, la popular aplicación que permite contar con espacio en la nube, la que adolece de una vulnerabilidad día cero que aún no ha sido corregida de forma definitiva. Un fallo que puede poner en riesgo los equipos bajo Windows que hagan uso de Dropbox y para la que por ahora sólo existe una solución temporal.

Sin parche definitivo

Dropbox

El fallo en cuestión permite a un atacante el acceso a permisos reservados en la carpeta "System" de nuestro equipo, uno de los apartados más sensibles del sistema. Un fallo que el actualizador de Dropbox (DropboxUpdater), que se instala como un servicio con dos tareas programadas que se ejecutan con permisos del sistema y que con las pruebas llevadas a cabo por los investigadores, permite la obtención de un shell de línea de comandos con privilegios de SYSTEM.

El fallo fue notificado a la empresa, a Dropbox, en septiembre, en el plazo indicado para estos casos, pero tras 90 días aún no hay una solución o no lo han ofrecido. Sólo hay un comunicado por parte de Dropbox refiriéndose al problema y avisando que trabajan en una solución que debe llegar en la próximas semanas:

"Tuvimos conocimiento de este problema a través de nuestro programa de recompensas de errores y lanzaremos una solución en las próximas semanas. Este error solo puede aprovecharse en circunstancias limitadas, y no hemos recibido ningún informe de esto vulnerabilidad que afecta a nuestros usuarios ".

Por ahora no existe una solución oficial por parte de la empresa y para poner remedio, aunque sea de forma temporal, hay que hacer uso de solución provisional a través de 0Patch. Se trata de una plataforma que ofrece microparches para fallos que aún no han sido corregidos de forma oficial. En palabras de Mitja Kolsek, CEO de la compañía Acros Security

“Mientras analizamos el problema, decidimos que la solución más confiable sería simplemente cortar el código de escritura de registro de DropBox Updater. Esto no parece afectar negativamente ni la funcionalidad de DropBox ni el proceso de actualización: simplemente deja el archivo de registro vacío, lo que puede dificultar que DropBox soluciones problemas en la computadora del usuario”

Este parche es temporal, como ellos mismos avisan. Corrige sólo la parte vulnerable y hace que no sea necesario reiniciar el equipo para que funcione. No obstante se trata sólo de una solución temporal a la espera de que Dropbox lance una actualización que puede usarse de forma local pero que también podría llegar a permitir un ataque en cadena.

Fuente | BleepingComputer.

Comentarios cerrados
Inicio