Constantemente
estamos hablando de la importancia del protocolo HTTPS para poder disfrutar de
un Internet más seguro. Cada vez más páginas web utilizan este protocolo para
garantizar la integridad de las conexiones y evitar que sean interceptadas.
Incluso los navegadores web empiezan a marcar las conexiones HTTP como “No
Seguras”. Sin embargo, aún podemos encontrar conexiones HTTP donde menos lo
esperamos, como, por ejemplo, en el servidor de descarga de actualizaciones de
Microsoft Update.
Las actualizaciones
de Windows son muy importantes para poder estar conectados a Internet de forma
segura. Estas actualizaciones normalmente suelen incluir parches de seguridad
(salvo las actualizaciones de mantenimiento, centradas en corregir fallos no
relacionados con la seguridad) y suelen llegar a los usuarios del sistema
operativo una vez al mes para corregir los fallos que se hayan detectado
recientemente en el sistema operativo.
Windows tiene un
centro de actualizaciones, desde donde podemos descargar e instalar las
actualizaciones que nos interesen en el sistema operativo para corregir
vulnerabilidades y otros fallos. Además de las descargas automáticas de Windows
Update, que en un principio se descargan de forma segura y se comprueba su
integridad, hay otras muchas formas de descargar manualmente las
actualizaciones, siendo la mejor de ellas el Catálogo de Microsoft Update, la
web desde donde podemos buscar y descargar cualquier parche KB de Windows.
La web principal del
catálogo de Microsoft Update utiliza una conexión segura HTTPS, por lo que todo
parece normal y es seguro. Sin embargo, si intentamos descargar cualquier actualización
KB desde esta web, si analizamos la URL de la descarga podemos ver cómo esta se
realiza a través de HTTP. Es más, si intentamos forzar el uso del protocolo
HTTPS, además de recibir un error de certificado, la descarga ni siquiera se
inicia, devolviendo un error 504. Las conexiones HTTP/2 también fallan.
Por si fuera poco,
cuando Microsoft enlaza a las descargas de las actualizaciones KB, o a otros
artículos relacionados con dichos parches, la compañía también lo hace
utilizando el protocolo HTTP, no protegiendo el tráfico de los usuarios.
Cuando descargamos
las actualizaciones manualmente, el navegador no comprueba ningún hash ni
verifica la integridad de la descarga como tal, por lo que algún pirata
informático podría interceptar la descarga y suplantarla por un paquete
modificado que oculte malware en su interior y que, al ejecutar dicha
actualización, infecte nuestro equipo.
Microsoft debería cambiar las descargas de
las actualizaciones de HTTP a HTTPS
Por el momento,
Microsoft no se ha pronunciado al respecto sobre lo que podemos considerar un
fallo de seguridad, aunque tampoco podemos saber si algún pirata informático se
ha aprovechado de este fallo de seguridad.
Lo más probable es
que la compañía, ahora que este problema de ha dado a conocer, no tarde en
actualizar todos sus enlaces para que siempre nos permitan establecer una
conexión segura a través del protocolo HTTPS, sin embargo, por el momento habrá
que esperar y extremar precauciones si descargamos las actualizaciones de
Windows desde aquí.
Fuente: seclists
