Que Windows 10 no es un sistema operativo perfecto lo sabemos todos, por lo menos en cuanto a las múltiples dudas que despierta en torno a nuestra privacidad. Pero lo que nunca nos podíamos imaginar es que a Microsoft se le escapase un bug que permite que cualquier usuario obtenga privilegios de administrador pulsando sólo dos botones.
El error está en el proceso de actualización de Windows Update. Tal y como ha descubierto y descrito en su blog el especialista en Windows Sami Laiho, cuando Windows Update está reiniciando el sistema después de una actualización es suficiente con pulsar Shift + F10 para acceder a la consola con permisos de administrador y tener el control total de un ordenador.
"El verdadero problema aquí es la Elevación de Privilegios que lleva un sistema no-administrador a SYSTEM (la raíz de Windows), aún cuando el ordenador está protegido con BitLocker (el cifrado de disco duro de Microsoft)", explica Laiho en su post. "Y por supuesto que esto no requiera de ningún hardware externo o software adicional. Diría que simplemente es una locura de bug".
El acceso se obtiene en el proceso de inicio de un ordenador después de la actualización, y pulsando la combinación de teclas accedemos a la consola del sistema con unos permisos de administrador que antes de reiniciar no teníamos. Esto nos permitiría hacer cualquier maleza que queramos en el equipo.
¿Qué implicaciones tiene para nuestra seguridad?
Para que todos lo entendamos. Esto quiere decir que con este bug de Windows 10, si alguien quiere tener un control total a nuestro ordenador sólo tiene que esperar a que llegue la próxima actualización. Esto es algo especialmente preocupante para quienes lo dejan desatendido, puesto que las actualizaciones suelen tardar lo suyo.
Para los usuarios de a pie, prevenir que alguien se aproveche del bug es tan fácil como no dejar nunca actualizaciones pendientes en el ordenador para que nadie las inicie y se aproveche de él. Las empresas y servicios públicos lo tienen más difícil, ya que es una vulnerabilidad crítica. Si acaso la solución sería insistirle a sus empleados que no dejen nunca su ordenador desatendido durante una actualización.
Microsoft ha sido informado ya de este error, por lo que no debería tardar demasiado en lanzar una actualización que solucione este bug. Aún no hay ningún pronunciamiento oficial ni fecha exacta para esta solución, pero teniendo en cuenta su gravedad debería llegar cuanto antes.
Vía | Sami Laiho
En Genbeta | Así puedes evitar que Windows 10 recopile tantos datos sobre ti y mejorar tu privacidad
Ver 46 comentarios
46 comentarios
killgore
Me parece una chorrada de bug.
Si el ordenador esta en tu casa nadie se va a poder aprovechar de el, a no ser que tengas una familia realmente chunga.
Si el ordenador esta en tu oficina, no creo que nadie tenga a un intruso al lado esperando a que te salte una actualizacion y que te levantes y te vayas para acto seguido hacer lo de las dos teclas. Y mas teniendo en cuenta que en una oficina cuando uno se va se le da a actualizar y apagar, no a actualizar y reiniciar.
Y si dejas el ordenador en la calle, nadie se va a aprovechar del bug, lo que van a hacer es llevarse el ordenador entero.
Me encantaria ver el mismo amarillismo para cada vez que salen bugs de seguridad criticos en linux, que no son pocos.
Usuario desactivado
Parece de broma, muy apropiado ya que hablamos de Windows 10.
crisct
No seáis cafres, cualquiera que tenga acceso físico al equipo te lo puede hackear. Sea Windows o Linux.
Que es un bug, de acuerdo, que es supergrave, naaaa
tiju
Pfffff jajajajajajajajajajaja
zakatolapan
Eso pasa cuando la seguridad del sistema está en las aplicaciones en lugar de estar en el núcleo.
Por eso los sitemas basados en unix como Linux son intrínsecamente seguros, mientras que windows es intrínsecamente inseguro y su seguridad sólo se consigue con mucho trabajo tapando agujero por agujero.
man_chester
Madre mía!!! habéis descubierto petróleo.. bien por el equipo de Genbeta!!!
Ahora publicáis alguna sobre Android e iOS, vale?
abceddn
“Si alguien quiere tener un control total a nuestro ordenador sólo tiene que esperar a que llegue la próxima actualización”.
Que tierno eres YÚBAL, te crees que si alguien quiere tener control total de tu ordenador tiene que esperar, un live de Linux y un simple cambio de nombres da paso a iniciar una consola con privilegios más altos que la de un administrador.
Pd. En definitiva, esto es una chorrada de bug, no por el bug en sí, sino porque cualquiera que quiera tener acceso a tu ordenador con cualquier SO, si tiene acceso físico a él y 30 min despejados lo tendrá (25 min son para comer golosinas y ensuciarte el teclado, para que cale más el ataque).
david
Eso es un huevo de pascua
albertopinoblanco
^^
super flojo el bug ¿eh? jaja
jdrey
para eso me monto un WSUS y se acabo el problema con ese bug a nivel corporativo. pero hay muchas mas jajaja
zaskaburciotiburcio
Desactivar el servicio de Windows Update durante un tiempo.
andres1033
Mas aya del tema, pone en el título que es una tecla y luego dice que son dos. ¿No te jode?
piter_parking
también es peligroso que alguien entre aquí y lea la noticia de cómo se hace.
A veces creo que si en este tipo de noticias no se explicara cómo se vulnera el sistema menos gente sabría cómo vulnerarlo...