Google causó preocupación y molestia en Microsoft la semana pasada, al revelar detalles de una vulnerabilidad de Windows, que la empresa no había alcanzado a eliminar. En esta oportunidad, el gigante de las búsquedas revela una nueva vulnerabilidad de Windows, aún no parcheada.
El grupo Project Zero, que trabaja para eliminar vulnerabilidades en software de Google y de otras empresas, aplica un principio de no revelar detalles hasta transcurridos 90 días de haber advertido a la empresa fabricante. A juicio de Google, 90 días son más que suficientes para eliminar la vulnerabilidad. Indudablemente, el plazo impone una presión al fabricante, que se ve en la necesidad de dar prioridad al parche. Vencido el plazo, la vulnerabilidad se hace pública, para que así los propios clientes u otras empresas tengan la posibilidad de solucionarla.
Microsoft, por su parte, considera perjudicial que los usuarios conozcan los detalles antes de que esté disponible un parche, debido a que actores malignos también podrían aprovecharlas con objetivos delictivos.
La nueva revelación de Google incluye una vulnerabilidad que afecta a Windows 7 y anteriores.
Memoria cifrada
Según James Forshaw, de Google, la vulnerabilidad está vinculada a la función CryptProtectMemory, que entre otras cosas permite a las aplicaciones cifrar memoria durante procesos de inicio de sesiones, donde la llave de cifrado es generada con base en un identificador de inicio de sesión. Entonces, la memoria cifrada es compartida entre los procesos que están siendo ejecutados en la misma sesión.
Según Forshaw existiría una vulnerabilidad en esta solución, en cuanto al control del nivel de suplantación de la clave cuando el identificador del inicio de sesiones es generado. Esto hace que un usuario corriente pueda suplantar a otro, a nivel de identificación, y así poder cifrar y descifrar datos durante el proceso en curso.
Peligro potencial
Según Forshaw, lo anterior podría generar un problema si un servicio es vulnerable frente a un ataque de tipo “named pipe planting”, o si almacena datos cifrados en una sección de la memoria que puede ser leída por otros procesos.
Forshaw agrega que Microsoft habría confirmado que la empresa reprodujo el problema el 29 de octubre, 12 días después de haber recibido la notificación de Google. Justo antes del vencimiento del plazo de 90 días, Microsoft habría informado a Forshaw que “estaba planeado publicar en enero una actualización de seguridad para esta vulnerabilidad. Sin embargo, debió ser suspendida debido a problemas de compatibilidad”.
En lugar de ello, el parche será publicado en febrero. Demasiado tarde para el programa Project Zero.
—
Ilustración: Ken Wolter © Shutterstock.com