Detallada la semana pasada por los investigadores Mateusz Jurczyk y Sergei Glazunov, la vulnerabilidad hasta ahora no detectada guarda relación con un fallo de desbordamiento de enteros en el control de entrada/salida del controlador kernel cryptographer de Windows.
Combinado con una falla previamente reparada en Google Chrome, intrusos tenían, en teoría, la capacidad de explotar la vulnerabilidad para evadir un sandbox de seguridad para ejecutar código en máquinas vulnerables.
La vulnerabilidad, identificada como CVE-2020-117087, es el resultado de un desbordamiento de búfer en una parte de Windows utilizada para los controladores de entrada/salida. “El controlador de criptografía del kernel de Windows (cng.sys) expone un dispositivo GNC a programas en modo de usuario y soporta una variedad de IOCTLs con estructuras de entrada no triviales”, señalaron los investigadores de Project Zero.
Según Jurczyk y Glazunov, lo anterior “constituye una superficie de ataque accesible localmente que puede ser explotada para la escalada de privilegios, como el escape de sandbox mencionado.
A pesar de la política estándar de esperar 90 días antes de revelar las vulnerabilidades de seguridad a la opinión pública, dando así tiempo al fabricante de solucionar el problema, los investigadores del Project Zero decidieron publicar esta vulnerabilidad después de siete días, al suponer que estaba bajo explotación activa.
Microsoft no concuerda con tal punto de vista, ya que aunque confirmó la vulnerabilidad, dijo que no tenía pruebas de que estuviera siendo explotada. En opinión de Microsoft, el exploit sigue siendo teórico.
Se espera un parche para la vulnerabilidad para el 10 de noviembre como parte de la actualización mensual del martes de Microsoft.
