Se ha dado a conocer un nuevo fallo de seguridad en Windows 10 que en este caso forma parte de una de las aplicaciones más utilizadas por sus usuarios. Estamos hablando de Dropbox.
Actualmente millones de usuarios confiamos en el almacenamiento en la nube para guardar nuestros archivos, y es que es muy útil porque si perdemos nuestra información la podemos recuperar fácilmente desde la nube. Existen varios servicios de almacenamiento en la nube que nos hacen la vida más fácil a la hora de generar copias de seguridad de nuestra información. Por contra no nos planteamos si dichos servicios pueden llagar a fallar o no en un momento dado. En esta ocasión se ha detectado una vulnerabilidad en Dropbox que puede poner en peligro todo tu ordenador.
Fueron Chris Danieli y Decoder quienes descubrieron el fallo el pasado mes de septiembre e informaron del mismo a la compañía, el 18 del mismo mes. Por norma se dan tres meses a las compañías para que solucionen los fallos de seguridad y si no lo hacen se dan finalmente a conocer al público. Se trata de una medida de presión para que se solventen los fallos lo antes posible.
La vulnerabilidad fue detectada en la aplicación de Dropbox para Windows y se trata de un problema arbitrario de sobreescritura de archivos que puede otorgar a un atacante privilegios escalados de acceso de usuario local para la ejecución de código de sistema. El error venía con el ejecutable DropboxUpdater que es una parte de la app de Dropbox en Windows y permitía que el usuario reemplazara archivos ejecutables que luego podían ser ejecutados por SYSTEM, sustituyéndolo por malware.
Cabe destacar que este fallo no es fácilmente explotable ya que se requiere que el atacante cuente con acceso local a nuestra computadora destino. Además la aplicación tiene que haberse instalado originalmente con la configuración por defecto con derechos de administrador.
Por su parte, Dropbox no ha publicado ninguna solución ante este fallo y después de haberse hecho público han explicado que "lanzaremos una solución en las próximas semanas", aclarando que "este error solo puede aprovecharse en circunstancias limitadas y no hemos recibido ningún informe de esta vulnerabilidad que afecte a nuestros usuarios".
Si no deseas esperar la solución de la compañía, existe un micro parche disponible desde oPatch que puedes descargarte y solucionarlo de forma temporal hasta que Dropbox emita una solución completa y oficial al problema.
Para más información accede a
Opatch.
Crear cuenta