Las actualizaciones del Catálogo de Microsoft Update se descargan a través de HTTP

Escrito por Rubén Velasco

Constantemente estamos hablando de la importancia del protocolo HTTPS para poder disfrutar de un Internet más seguro. Cada vez más páginas web utilizan este protocolo para garantizar la integridad de las conexiones y evitar que sean interceptadas. Incluso los navegadores web empiezan a marcar las conexiones HTTP como “No Seguras”. Sin embargo, aún podemos encontrar conexiones HTTP donde menos lo esperamos, como, por ejemplo, en el servidor de descarga de actualizaciones de Microsoft Update.

Las actualizaciones de Windows son muy importantes para poder estar conectados a Internet de forma segura. Estas actualizaciones normalmente suelen incluir parches de seguridad (salvo las actualizaciones de mantenimiento, centradas en corregir fallos no relacionados con la seguridad) y suelen llegar a los usuarios del sistema operativo una vez al mes para corregir los fallos que se hayan detectado recientemente en el sistema operativo.

Windows tiene un centro de actualizaciones, desde donde podemos descargar e instalar las actualizaciones que nos interesen en el sistema operativo para corregir vulnerabilidades y otros fallos. Además de las descargas automáticas de Windows Update, que en un principio se descargan de forma segura y se comprueba su integridad, hay otras muchas formas de descargar manualmente las actualizaciones, siendo la mejor de ellas el Catálogo de Microsoft Update, la web desde donde podemos buscar y descargar cualquier parche KB de Windows.

La web principal del catálogo de Microsoft Update utiliza una conexión segura HTTPS, por lo que todo parece normal y es seguro. Sin embargo, si intentamos descargar cualquier actualización KB desde esta web, si analizamos la URL de la descarga podemos ver cómo esta se realiza a través de HTTP. Es más, si intentamos forzar el uso del protocolo HTTPS, además de recibir un error de certificado, la descarga ni siquiera se inicia, devolviendo un error 504. Las conexiones HTTP/2 también fallan.

HTTP Windows Update

Por si fuera poco, cuando Microsoft enlaza a las descargas de las actualizaciones KB, o a otros artículos relacionados con dichos parches, la compañía también lo hace utilizando el protocolo HTTP, no protegiendo el tráfico de los usuarios.

Cuando descargamos las actualizaciones manualmente, el navegador no comprueba ningún hash ni verifica la integridad de la descarga como tal, por lo que algún pirata informático podría interceptar la descarga y suplantarla por un paquete modificado que oculte malware en su interior y que, al ejecutar dicha actualización, infecte nuestro equipo.

Microsoft debería cambiar las descargas de las actualizaciones de HTTP a HTTPS

Por el momento, Microsoft no se ha pronunciado al respecto sobre lo que podemos considerar un fallo de seguridad, aunque tampoco podemos saber si algún pirata informático se ha aprovechado de este fallo de seguridad.

Lo más probable es que la compañía, ahora que este problema de ha dado a conocer, no tarde en actualizar todos sus enlaces para que siempre nos permitan establecer una conexión segura a través del protocolo HTTPS, sin embargo, por el momento habrá que esperar y extremar precauciones si descargamos las actualizaciones de Windows desde aquí.

¿Crees que las descargas de las actualizaciones y los parches por HTTPS debería ser una prioridad para Microsoft?

Fuente > seclists