Windows también es vulnerable al agujero de seguridad FREAK

FREAK, inicialmente limitado a los navegadores de Apple y Google, deja las comunicaciones entre usuarios y sitios web expuestas a la interceptación.

En contra de lo que se pensaba inicialmente, el fallo de seguridad en las comunicaciones FREAK también afecta a los equipos que ejecutan todas las versiones compatibles de Windows. Así lo ha reconocido hoy Microsoft, advirtiendo de que los protocolos de cifrado utilizados en Windows -Secure Sockets Layer y su sucesor Transporte Layer Security- también son vulnerables al error.

FREAK es un defecto de cifrado de 10 años de antigüedad que deja a los usuarios de dispositivos informáticos expuestos a que sus comunicaciones electrónicas sean interceptadas cuando visite alguno de los cientos de miles de sitios web afectados, incluidos los de la NSA y el FBI curiosamente.

“Nuestra investigación ha comprobado que la vulnerabilidad podría permitir a un atacante exigir la inactividad de las suites de cifrado utilizadas en una conexión SSL/TLS en un sistema cliente de Windows. La vulnerabilidad facilita la explotación de la técnica FREAK, divulgada públicamente, que es un problema de toda la industria, no es específico de los sistemas operativos de Windows”, explicó Microsoft en su aviso.

La compañía de Redmond aseguró que tendrá en cuenta el fallo en su actualización semanal de los martes, o incluso en un parche extra. Mientras tanto, Microsoft sugiere deshabilitar los sistemas de cifrado de exportación RSA.

Según CNET, el FREAK (acrónimo de Factoring RSA Export Keys) se descubrió hace unas semanas, cuando un grupo de investigadores observó que podían obligar a los sitios web a utilizar un cifrado intencionalmente debilitado, que serían capaces de romper en unas pocas horas. Una vez que el cifrado de ese sitio se rompía, los hackers podrían robar datos como contraseñas y secuestrar elementos de la página. FREAK se atribuye a una antigua política de Estados Unidos, que prohibía a las compañías estadounidenses exportar los fuertes estándares de encriptación disponibles en ese momento.

Los investigadores, que pensaron en un principio que el agujero se limitaba a los navegadores Safari de Apple y Android de Google, afirman que no hay pruebas de hackers que hayan explotado esta vulnerabilidad.