Project Zero de Google anuncia Windows 0day, que actualmente se utiliza activamente


Una calavera estilizada hecha de unos y ceros.

El Proyecto Zero de Google afirma que los piratas informáticos están explotando activamente un día cero de Windows que probablemente no se actualizará durante casi dos semanas.

De acuerdo con las pautas de larga data, el Grupo de Investigación de Vulnerabilidades de Google le dio a Microsoft siete días para corregir la vulnerabilidad, ya que actualmente está siendo explotada activamente. Por lo general, Project Zero revela vulnerabilidades después de 90 días o cuando un parche está disponible, lo que ocurra primero.

CVE-2020-117087 permite a los atacantes elevar los privilegios del sistema mientras se persigue la vulnerabilidad. Los atacantes combinaron un exploit para esto con otro separado que apuntaba a un error recientemente solucionado en Chrome. El primero permitió al segundo escapar de un entorno limitado de seguridad para que el segundo pudiera ejecutar código en computadoras vulnerables.

CVE-2020-117087 proviene de un desbordamiento de búfer en una parte de Windows que se utiliza para funciones criptográficas. Los controles de entrada / salida se pueden utilizar para enrutar datos a una parte de Windows que permite la ejecución de código. La publicación del viernes indicó que el error estaba en Windows 7 y Windows 10, pero no se refería a otras versiones.

«El controlador de criptografía del kernel de Windows (cng.sys) expone un dispositivo Device CNG a programas en modo de usuario y admite una gran cantidad de IOCTL con estructuras de entrada no triviales», dijo el artículo del Proyecto Zero el viernes. «Es una superficie de ataque accesible localmente que se puede utilizar para escalar autorizaciones (por ejemplo, escape de la zona de pruebas)».

La descripción técnica incluía un código de prueba de concepto que los usuarios pueden usar para bloquear computadoras con Windows 10.

El error de Chrome combinado con CVE-2020-117087 estaba en la biblioteca de representación de fuentes FreeType que se incluye en Chrome y otras aplicaciones de desarrolladores. El error FreeType se solucionó hace 11 días. No está claro si todos los programas que utilizan FreeType se han actualizado para incorporar el parche.

Project Zero espera que Microsoft solucione la vulnerabilidad el 10 de noviembre, que coincide con la actualización de este mes el martes. En un comunicado, los empleados de Microsoft escribieron:

Microsoft tiene la responsabilidad del cliente de investigar los problemas de seguridad informados y actualizar los dispositivos afectados para proteger a los clientes. Si bien estamos trabajando para cumplir con los plazos de divulgación de todos los investigadores, incluidos los plazos a corto plazo como este escenario, el desarrollo de una actualización de seguridad es un equilibrio entre la puntualidad y la calidad. Nuestro objetivo principal es garantizar la máxima protección al cliente con una interrupción mínima del cliente.

Un representante dijo que Microsoft no tiene evidencia de que la vulnerabilidad esté siendo ampliamente explotada y que la falla no se puede aprovechar para comprometer la funcionalidad criptográfica. Microsoft no ha proporcionado información sobre los pasos que pueden seguir los usuarios de Windows hasta que haya una solución disponible.

Líder técnico del Proyecto Cero Ben Hawkes defendido la práctica de revelar cero días dentro de una semana de su uso activo.

La decisión rápida: creemos que compartir estos detalles tiene un beneficio defensivo y que los ataques oportunistas que usan estos detalles hasta el parche publicado son razonablemente improbables (anteriormente se usaba como parte de una cadena de exploits y un ataque de punto de entrada). reparado)

El breve plazo para los exploits in-the-wild también busca incentivar los parches fuera de banda u otras acciones correctivas que se desarrollan / comparten con urgencia. Puede esperar estas mejoras durante un período de tiempo más largo.

No hay detalles de las hazañas activas aparte de que «no están relacionadas con los objetivos de las elecciones estadounidenses».



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *