Un fallo en GnuPG permite a cualquiera suplantar cualquier firma digital

Escrito por Javier Jiménez

Una nueva vulnerabilidad afecta directamente a algunos clientes de cifrado de correos electrónicos. Se trata de un fallo crítico que ha sido descubierto por un investigador de seguridad que afirma que afecta a algunos de los más utilizados mundialmente que utilizan el estándar OpenPGP y confían en GnuPG para cifrar y firmar digitalmente todos los mensajes. Un problema bastante serio y que perjudica a muchos usuarios que confían en estas aplicaciones para, precisamente, aumentar su seguridad y privacidad.

Cualquier firma digital puede ser suplantada por un fallo en GnuPG

Hace un mes los investigadores de seguridad revelaron una serie de fallos y vulnerabilidades que denominaron eFail en GnuPG y herramientas de cifrado. Estos problemas podrían permitir a un hipotético atacante revelar correos electrónicos cifrados en texto plano. Esto, como hemos mencionado, afecta a una serie de servicios muy populares para los usuarios. Entre estos se encuentran Thunderbird, Outlook o Apple Mail.

Los atacantes, como descubrió el desarrollador Marcus Brinkmann, podrían falsificar firmas digitales con la clave pública de alguien.

La vulnerabilidad ha sido descrita como CVE-2018-12020 y afecta a aplicaciones de correo electrónico muy populares. Entre ellas se incluyen GnuPG, Enigmail, GPGTools y python-gnupg. Todas ellas han recibido actualizaciones de seguridad.

Marcus ha indicado que el protocolo OpenPGP permite incluir el parámetro “nombre de archivo” del archivo de entrada original en los mensajes firmados o cifrados, combinándolo con los mensajes de estado GnuPG (incluida la información de firma) en un único canal de datos agregando una palabra clave predefinida para separarlos.

Durante el descifrado del mensaje al destinatario final, la aplicación del cliente divide la información utilizando esa palabra clave y muestra el mensaje con una firma válida, si el usuario tiene habilitada la opción detallada en su archivo gpg.conf.

El problema es que ese nombre de archivo incluido que puede tener incluso 255 caracteres no se gestiona correctamente en estas aplicaciones que hemos mencionado. Esto es lo que, potencialmente, puede provocar que un atacante introduzca otros caracteres de control.

Vulnerabilidad de seguridad en GnuPG

Falsificar firmas

Esto permitiría falsificar firmas. Se podría inyectar mensajes de estado GnuPG falsos y así falsificar la veracidad de las firmas y el resultado del descifrado de mensajes.

Los investigadores indican que un simple mensaje en texto plano sería un mensaje OpenPGP perfectamente válido y que puede contener el nombre del archivo cifrado en el ataque.

Hay que mencionar que GnuPG no solo se usa para la seguridad de correos electrónicos, sino también para respaldos seguros, actualizaciones de software en distribuciones y código fuente en sistemas de control de versiones como Git.

La recomendación, como suele ocurrir en estos casos, es actualizar cuanto antes el software. Estos son os enlaces para actualizar a la última versión GnuPG 2.2.8, Enigmail 2.0.7 y GPGTools 2018.3.

Mantener nuestros sistemas actualizados es muy importante para evitar problemas de seguridad. En ocasiones surgen vulnerabilidades que son corregidas por parches que evitan que sea explotado por hipotéticos atacantes y afecten al buen funcionamiento de los equipos.

Fuente > The Hacker News