Google reveló un error de día cero que afecta al sistema operativo Windows

El jefe de la Project Zero de Google ha revelado un error de día cero en el sistema operativo Windows, que está siendo explotado activamente. La vulnerabilidad afecta al sistema operativo Windows 7 a Windows 10 y forma un ataque de dos partes combinado con un error de Chrome. Aunque el problema de Chrome se resolvió con una actualización, Microsoft aún no ha respondido al error de Windows.

El error de Windows permite el ataque RCE

Google reveló un error de día cero que afecta al sistema operativo Windows
Google reveló un error de día cero que afecta al sistema operativo Windows

Aunque las vulnerabilidades de software son comunes hoy en día, un OEM confiable está determinado por el tiempo que se necesita para corregir esa vulnerabilidad. Los investigadores de seguridad y los cazadores de errores revelan todo lo que descubren al OEM en cuestión para obtener créditos, pero si no responden dentro del tiempo asignado, lo publican de todos modos.

Una de estas publicaciones es de Google, cuyo equipo de Project Zero ha publicó un informe vulnerabilidad de la ventana. El liderazgo del equipo, Ben Hawkes, tuiteó sobre un error de día cero en Windows, registrado como CVE-2020-17087. Esto podría ser parte de un ataque de dos etapas, donde un atacante podría encadenarlo a un error en Google Chrome (CVE-2020-15999)

El error de Chrome descubierto la semana pasada permitiría a un atacante ejecutar código malicioso y se corrigió con una actualización de Chrome (v86.0.4240.111) La semana pasada. Ahora ha descubierto un error en el kernel de Windows, que afecta a todas las versiones de Windows 7 a Windows 10. Esto permite que un atacante ejecute código malicioso en el sistema operativo Windows, escapando del contenedor Chrome.

Diseñado como Escape de la caja de arena, un atacante podría aprovechar ambos errores para ejecutar código malicioso en Chrome obsoleto y, finalmente, pasar al sistema operativo subyacente. Aunque Ben informó a Microsoft la semana pasada y les dio una semana para responder con un parche, Microsoft aún no ha aparecido. Entonces, ahora documentó el problema con un código de prueba de concepto.

Esta revelación fue incluso aprobada por Shane Huntley, director del Grupo de análisis de amenazas de Google (TAG). Aunque Ben no mencionó quién explota los errores, la mayoría de ellos pueden ser piratas informáticos respaldados por el estado-nación. Microsoft puede presentar un parche para esto el 10 de noviembre, cuando lance la actualización de seguridad del próximo martes.

Artículos relacionados