El experto en seguridad James Forshaw ha descubierto dos fallas críticas en el controlador que TrueCrypt instala en sistemas Windows.
securityaffairs.- Malas noticias para los usuarios de Windows que han decidido utilizar TrueCrypt para cifrar sus discos duros, el investigador James Forshaw, un miembro del equipo del Proyecto Zero de Google, ha descubierto dos vulnerabilidades graves que afectan a la popular aplicación.
A pesar de que el mantenimiento de TrueCrypt se ha interrumpido en de mayo de 2014 por sus desarrolladores, es una de las aplicaciones más populares para el cifrado de datos de usuario.
Los autores originales de TrueCrypt advirtieron a los usuarios sobre la posible presencia de "cuestiones de seguridad sin resolver" y los invitó a migrar a BitLocker, la solución de cifrado de disco completo implementada por Microsoft.
James Forshaw ha descubierto dos fallas en el controlador que TrueCrypt instala en sistemas Windows.
Es curioso observar que ninguna de las auditorías previas ha puesto al descubierto ninguna de estas fallas en la aplicación TrueCrypt. En particular, un equipo de investigadores realizó un análisis que duró dos años y que se organizó en dos fases distintas. En la primera fase los expertos analizaron los planos del software y descubrieron sólo 11 temas de severidad media y baja en el software.
En la segunda fase, que finalizó recientemente, los expertos examinaron la implementación de TrueCrypt para generar números aleatorios y algoritmos de clave críticos, y varios conjuntos de suites de cifrado.
Auditores de seguridad y expertos en criptografía de la NCC decidieron analizar el software TrueCrypt en respuesta a los documentos filtrados por Edward Snowden que hipotéticamente planteaban la presencia de una puerta trasera en la aplicación.
TrueCrypt parece ser una pieza de software criptográfico relativamente bien diseñada; el experto en criptografía Matthew Green explicó en una entrada de blog. La auditoría NCC no encontró evidencia de puertas traseras deliberadas, o cualquier defecto de diseño graves que hiciera insegura cualquier instancia del software en la mayoría de los casos.
Ahora, Forshaw explica que un atacante puede explotar la vulnerabilidad para obtener privilegios elevados en un sistema si tienen acceso a una cuenta de usuario limitada.
Forshaw no ha revelado los detalles sobre las dos vulnerabilidades porque él tiene la intención de esperar siete días para el descubrimiento o el lanzamiento de una actualización de seguridad para solucionar el problema.
¿Quién va a solucionar las fallas en TrueCrypt?
Seguro que estos bugs no serán corregidos por los autores originales, sin embargo la vulnerabilidad (CVE-2015-7358 y CVE-2015-7359) parecen haber sido corregidas en VeraCrypt, un spin-off del proyecto original TrueCrypt.
VeraCrypt 1.15 que fue lanzado la semana pasada contiene los parches para las dos vulnerabilidades descubiertas por Forshaw, así como para otros bugs.
Los usuarios que aún utilizan TrueCrypt deben comenzar a utilizar VeraCrypt para evitar problemas, sus desarrolladores ya han solucionado muchos problemas de seguridad que afectan al software original.
