SymCrypt es una librería criptográfica creada en 2006 por Microsoft inicialmente para poder añadir soporte para cifrado simétrico a su sistema operativo. Desde Windows 8, esta librería era la encargada de gestionar todas las tareas de cifrado simétrico del sistema operativo. En 2015 Microsoft quiso llevar más allá esta librería y añadió soporte para cifrado asimétrico, convirtiéndose desde el lanzamiento de Windows 10 versión 1703 en la librería por defecto para trabajar con todos los algoritmos en el sistema operativo.

Tavis Ormandy, uno de los investigadores de seguridad de Google Project Zero más conocidos, encontró un fallo en esta librería que permitía procesar operaciones infinitas que nunca acabaran, dejando cualquier sistema o servidor bloqueado al no ser capaz de resolver la operación.

Este investigador de seguridad fue capaz de replicar la vulnerabilidad en un certificado digital X.509, certificado que fácilmente se puede ocultar en cualquier programa o en cualquier parte del sistema operativo y que dejaría sin servicio al equipo en el momento que empezara a procesarlo. Este certificado puede llegar a cualquier usuario a través de Internet mediante una aplicación modificada, una conexión segura a través de protocolos como TLS e incluso oculto en un correo electrónico cifrado con S/MIME.

Cuando SymCrypt intenta procesar el certificado incorrecto, esta librería se bloquea causando un ataque DoS a nivel del sistema operativo, dejándolo bloqueado y sin servicio. Este fallo de seguridad afecta por igual a cualquier versión de Windows (que ya utilice esta librería), así como a cualquier servicio que se ejecute en el sistema como IPSec, para conexiones VPN, e incluso IIS.

En el caso más extremo, también se podría utilizar para dejar sin servicio cualquier antivirus que procese cualquier posible malware firmado con este certificado incorrecto.

No habrá parche hasta julio para el procesado del cert chungo capaz de tumbar cualquier Windows. Quien dice Windows, dice tumbar AVs que procesen muestras de malware firmadas con este cert. En la imagen, en Project Zero no tienen piedad. Ni un día después de los 90 de margen. pic.twitter.com/orWZkyl87C

— Sergio de los Santos (@ssantosv) June 12, 2019

Microsoft no corregirá la vulnerabilidad hasta julio de 2019

Ya están disponibles los parches de seguridad de junio de 2019 para Windows, parches que han corregido un total de 88 vulnerabilidades en el sistema operativo, en varios componentes del mismo y en los dos navegadores web de Microsoft, Internet Explorer y Microsoft Edge.

A pesar de que Google Project Zero reportó este fallo de seguridad el pasado 18 de marzo, y Microsoft respondió que iba a solucionar la vulnerabilidad con los parches de junio (91 días después), estos parches han llegado y no hay rastro de este fallo de seguridad.

Por ello, Google Project Zero ha decidido hacer pública la vulnerabilidad ya que se ha agotado el tiempo que el departamento de seguridad de Google ofrece a los desarrolladores para corregir la vulnerabilidad antes de dar a conocer el fallo de seguridad.

Microsoft asegura que esta vulnerabilidad será corregida con los próximos parches de seguridad, parches que llegarán el próximo 9 de julio de 2019, aunque, hasta entonces, todos quedaremos expuestos a esta posible vulnerabilidad.

¿Debe preocuparme este fallo de seguridad en SymCrypt?

Para Tavis Ormandy, este fallo de seguridad ha sido considerado como de peligrosidad baja. No permite ejecutar código ni supone un peligro para los usuarios, ya que simplemente desencadena un ataque DoS.

Sin embargo, como ha demostrado el investigador de seguridad, es muy fácil de explotar a través de Internet, poniendo en peligro a cualquier usuario de Windows 8 o Windows 10, además de a cualquier servidor con Windows Server conectado a Internet. Aunque no es peligroso, en manos de piratas informáticos puede llegar a ser una auténtica molestia.

Por ahora no podemos hacer más que esperar un mes hasta los próximos parches de seguridad para poder protegernos de esta vulnerabilidad en la librería abierta de Microsoft.