Muchos aspectos de Windows son todavía un misterio para los usuarios, pero poco a poco van saliendo a la luz detalles, agujeros de seguridad y otros posibles problemas ocultos en el sistema operativo de Microsoft. El último descubrimiento tiene el sello de los expertos de Digital Forensics and Incident Response (DFIR) que han descubierto que WaitList.dat es el archivo secreto de Windows que podría almacenar contraseñas y conversaciones privadas.

Este nuevo problema de seguridad afecta a los usuarios que tengan Windows en un dispositivo con pantalla táctil, existiendo una alta probabilidad de que el sistema esté guardando información sensible del usuario desde hace meses e incluso años. Todo está relacionado con la existencia de un fichero llamado WaitList.dat.

WaitList.dat ¿un nuevo problema de seguridad en Windows?

Barnaby Skeggs, experto de Digital Forensics and Incident Response (DFIR), ha explicado los problemas de seguridad que genera la existencia de un archivo oculto llamado WaitList.dat. Este fichero sólo está presente en las compilaciones de Windows instaladas en ordenadores táctiles en los que se ha activado la función de reconocimiento de escritura a mano. Esta cambia por texto normal formateado lo que escribamos con el dedo o con un puntero.

Red Team Tip: Have a shell on a Windows PC with a touch screen? Search for passwords in Waitlist.dat, a full text index of emails and documents used to improve handwriting recognition.

Powershell command below.

Read my research on Waitlist.dat here:https://t.co/Hk764Wqy4j

— Barnaby Skeggs (@barnabyskeggs) August 26, 2018

Esta funcionalidad fue introducida con Windows 8 y sigue presente en Windows 10. Esto implica que el fichero WaitList.dat puede estar en un ordenador desde hace años sin que el usuario sospeche al respecto. Como hemos dicho, esta función reconoce y sugiere correcciones sobre el texto escrito a mano.

Según el investigador de seguridad, este archivo se crea nada más empezamos a usar la función. A partir de ahí, el texto de cualquier documento o email que enviamos se indexa en el servicio Windows Search Indexer almacenado en WaitList.dat. Además, no sólo hablamos de nombres de ficheros o metadata, sino del propio texto escrito.

En el ordenador utilizado para las pruebas se encontraron textos de documentos o correos electrónicos que incluso habían sido borrados. Y no sólo eso, Barnaby Skeggs explica que se podría utilizar este fichero para recuperar texto de ficheros borrados debido a que siguen indexados en WaitList.dat.

Este ya escribió en 2016 sobre este fichero, pero ha sido ahora cuando la cuestión se ha viralizado algo más. Esto es debido a la posibilidad de usar este fichero para buscar contraseñas y otros datos privados en el ordenador. Además, un atacante sólo tendría que robar WaitList.dat en lugar de escanear todo el PC localizado en:

C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

Por el momento, no ha contactado con Microsoft ya que piensa que no es un fallo de seguridad. Los usuarios que no quieran quedar expuestos no deben activar esta función en sus ordenadores con pantalla táctil.