Google detecta vulnerabilidad de d铆a cero en Windows

Los investigadores de Project Zero de Google LLC han revelado una nueva vulnerabilidad de Windows que permite a los atacantes eludir la seguridad para instalar software malicioso.

Detallada la semana pasada por los investigadores Mateusz Jurczyk y Sergei Glazunov, la vulnerabilidad hasta ahora no detectada guarda relaci贸n con un fallo de desbordamiento de enteros en el control de entrada/salida del controlador kernel cryptographer de Windows.

Combinado con una falla previamente reparada en Google Chrome, intrusos ten铆an, en teor铆a, la capacidad de explotar la vulnerabilidad para evadir un sandbox de seguridad para ejecutar c贸digo en m谩quinas vulnerables.

La vulnerabilidad, identificada como CVE-2020-117087, es el resultado de un desbordamiento de b煤fer en una parte de Windows utilizada para los controladores de entrada/salida. “El controlador de criptograf铆a del kernel de Windows (cng.sys) expone un dispositivo GNC a programas en modo de usuario y soporta una variedad de IOCTLs con estructuras de entrada no triviales”, se帽alaron los investigadores de Project Zero.

Seg煤n Jurczyk y Glazunov, lo anterior “constituye una superficie de ataque accesible localmente que puede ser explotada para la escalada de privilegios, como el escape de sandbox mencionado.

A pesar de la pol铆tica est谩ndar de esperar 90 d铆as antes de revelar las vulnerabilidades de seguridad a la opini贸n p煤blica, dando as铆 tiempo al fabricante de solucionar el problema, los investigadores del Project Zero decidieron publicar esta vulnerabilidad despu茅s de siete d铆as, al suponer que estaba bajo explotaci贸n activa.

Microsoft no concuerda con tal punto de vista, ya que aunque confirm贸 la vulnerabilidad, dijo que no ten铆a pruebas de que estuviera siendo explotada. En opini贸n de Microsoft, el exploit sigue siendo te贸rico.

Se espera un parche para la vulnerabilidad para el 10 de noviembre como parte de la actualizaci贸n mensual del martes de Microsoft.


Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.