20 de abril de 2021

ADVERTENCIA: Google revela que una vulnerabilidad Zero-Day de Windows está siendo explotada

Google ha revelado detalles de una nueva falla de escalada de privilegios de día cero en el sistema operativo Windows que está siendo explotada de forma activa.

La escalada de privilegios, registrada como CVE-2020-17087, hace referencia a un desbordamiento de búfer presente desde al menos Windows 7 en el controlador de criptografía del núcleo de Windows («cng.sys») que puede ser explotado evadiendo la sandbox.

«El error reside en la función cng!CfgAdtpFormatPropertyBlock y está causado por un problema de truncamiento de integers de 16 bits», señalaron los investigadores del Proyecto Cero de Google, Mateusz Jurczyk y Sergei Glazunov, en su redacción técnica.

El equipo de seguridad hizo públicos los detalles después de un plazo de divulgación de siete días debido a que está siendo explotado.

El Proyecto Cero ha compartido una prueba de concepto (PoC) que puede utilizarse para corromper los datos del núcleo y bloquear los dispositivos vulnerables de Windows, incluso con las configuraciones predeterminadas del sistema.

Lo que es notable es que la cadena de exploit requiere enlazar CVE-2020-17087 con otro navegador Chrome de Zero-Day (CVE-2020-15999) que fue arreglado por Google la semana pasada.

El Zero-Day de Chrome implica un desbordamiento del búfer de acumulación en la biblioteca de fuentes Freetype para ejecutar código malicioso en el navegador, pero el recién revelado Zero-Day de Windows hace posible que un atacante salga de las protecciones de la sandbox de Chrome y ejecute el código en Windows.

Declarando que la explotación «no está relacionada con ningún objetivo relacionado con las elecciones de los Estados Unidos», Ben Hawkes del Proyecto Cero dijo que se espera que Microsoft publique un parche para la falla el 10 de noviembre.

Hawkes también defendió la práctica de revelar los Zero-Days dentro de la semana de ser explotados de forma activa.

«Creemos que hay una utilidad defensiva en compartir estos detalles, y que los ataques oportunistas que usan estos detalles entre ahora y la publicación del parche es razonablemente improbable (hasta ahora se ha usado como parte de una cadena de explotación, y el ataque de punto de entrada está arreglado)», dijo.

«El corto plazo para la explotación en el punto de entrada también trata de incentivar los parches out-of-band u otras mitigaciones que se están desarrollando/compartiendo con urgencia. Esas mejoras se pueden esperar a largo plazo», añadió Hawkes.

Referencias:

https://thehackernews.com/2020/11/warning-google-discloses-windows-zero.html

https://csirt.telconet.net/tag/cve-2020-17087/ (imagen)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *