Skip to main content

Este fallo en Dropbox de Windows 10 puede poner en peligro tu ordenador

Dropbox

23/12/2019 - 17:45

Un nuevo fallo de seguridad ha sido encontrado en Windows 10, pero en esta ocasión forma parte de una de las aplicaciones más utilizadas por los usuarios: Dropbox.

Hoy día confiamos en la tecnología y almacenamiento en la nube para guardar nuestros archivos. Es especialmente útil, porque si perdemos la información de nuestro ordenador, la podemos recuperar fácilmente desde la nube. Para ello existen almacenamientos populares como Google Drive o Dropbox, último en el que se ha encontrado una vulnerabilidad que puede poner en peligro todo tu ordenador.

Los investigadores de seguridad Chris Danieli y Decoder descubrieron por primera vez esta vulnerabilidad en el pasado mes de septiembre, informando a Dropbox el 18 del mismo mes. Como viene siendo habitual, siempre se dan tres meses para que las empresas solucionen los fallos de seguridad, y si no lo han hecho se dan finalmente a conocer al público, en una medida de presión para que se solvente el fallo lo antes posible.

Esta vulnerabilidad existe en la aplicación de Dropbox para Windows, y se trata de un problema arbitrario de sobreescritura de archivos que puede otorgar a un atacante privilegios escalados de acceso de usuario local para ejecutar código de sistema.

Este error viene con el ejecutable DropboxUpdater que es una parte de la aplicación de Dropbox en Windows, y que podría permitir que el usuario reemplace los archivos ejecutables que luego puede ser ejecutados por SYSTEM, sustituyéndolo por malware.

Aclarar que DropboxUpdater se instala por defecto como parte del software cliente de Dropbox y que se encarga de programar tareas que se van ejecutando cada hora. Cada vez que se activa este ejecutador de tareas, se escribe un archivo de registro en una ubicación donde la cuenta System lo deja vulnerable para que pueda ser explotado.

No es fácil explotar este fallo porque se requiere que el atacante cuente con acceso local a nuestra computadora destino. Además la aplicación de Dropbox también tiene que haberse instalado originalmente con la configuración por defecto con derechos de administrador. Aunque este último aspecto es muy sencillo de que se haya producido, el primero es más complicado.

De momento Dropbox no ha emitido una solución ante este fallo y han comentado ante la salida de la luz de este problema, que “lanzaremos una solución en las próximas semanas”. Aclarando que “este error solo puede aprovecharse en circunstancias limitadas y no hemos recibido ningún informe de esta vulnerabilidad que afecte a nuestros usuarios”.

En todo caso si no quieres esperar a la solución de Dropbox, que podría irse ya al año que viene, existe un micro parche disponible desde oPatch que podrías descargarte y que soluciona este problema hasta que se implemente la solución completa de la propia Dropbox.