Google revela detalles del error de día cero sin parches en Windows 10

Project Zero de Google ha publicado un código de prueba de concepto para una vulnerabilidad de desbordamiento de búfer en el kernel de Windows 10 que puede explotarse para escalar privilegios locales para ejecutar malware en el sistema operativo. Cuando se combina con una falla recientemente parcheada en Chrome, esto permitiría que el malware web escapara de la zona de pruebas de Chrome y tomara el control completo de una PC.

Google dijo que la falla (CVE-2020-17087) estaba siendo explotado en la naturaleza y le dio a Microsoft solo 7 días para parchearlo, una fecha límite que, como era de esperar, pasó sin un parche.

Según el líder técnico de Project Zero, Ben Hawkes, Microsoft planea lanzar un parche el 10 de noviembre.

Si bien la falla se está explotando en la naturaleza, tanto Google como Microsoft dijeron que los ataques fueron "dirigidos", aunque no relacionados con las elecciones estadounidenses.

Un portavoz de Microsoft dijo que el ataque informado es "muy limitado y de naturaleza dirigida, y no hemos visto evidencia que indique un uso generalizado".

Por supuesto, ahora que se ha publicado el código de prueba de concepto, es probable que ya no sea así.

Se cree que la falla afecta a las versiones de Windows que se remontan a Windows 7, y también a todas las versiones de Windows 10 con parches completos.

En un comunicado, Microsoft dijo:

“Microsoft tiene un compromiso con el cliente de investigar los problemas de seguridad informados y actualizar los dispositivos afectados para proteger a los clientes. Si bien trabajamos para cumplir con los plazos de divulgación de todos los investigadores, incluidos los plazos a corto plazo como en este escenario, el desarrollo de una actualización de seguridad es un equilibrio entre la puntualidad y la calidad, y nuestro objetivo final es ayudar a garantizar la máxima protección del cliente con una interrupción mínima del cliente. ”

vía TechCrunch