Google revela Archivos de error de día cero explotados en la naturaleza


No se espera que el agujero de seguridad se tape hasta el próximo paquete de arreglos de seguridad del martes de parches

ACTUALIZACIÓN (11 de noviembreth, 2020): Como se esperaba, Microsoft implementó una solución para la vulnerabilidad en el De noviembre de 2020 Martes de parches lanzamiento.

Los investigadores de Venture Zero de Google reveló detalles sobre una vulnerabilidad de día cero en Windows que dicen está siendo explotado por atacantes.

Los defectos de memoria reside la corrupción en el controlador de núcleo de Home windows Criptografía (cng.sys) y, según Google, “constituye una superficie de ataque localmente accesible que puede ser explotada para la elevación de privilegios (como el escape de caja de arena)”.

Los investigadores también publicaron un código de prueba de concepto (PoC) que habían probado en una versión reciente de Home windows 10 (versión 1903, 64 bits) y creen que el mistake de seguridad podría haber existido desde Windows 7, lo que significa que todas las versiones de Home windows 7 a la 10 podría ser afectada.

Por informes de los medios, el defecto se explota junto con otro día cero, que está indexado como CVE-2020-15999 y afecta a FreeType, una biblioteca de desarrollo de software package ampliamente utilizada que también forma parte de Google Chrome.

Google anunció el descubrimiento del fallo recién descubierto, el cual se realiza un seguimiento como CVE-2020-17087, a Microsoft, pero dado que encontró evidencia de la explotación de la laguna jurídica, optó por un plazo de divulgación corto de siete días.

Todavía faltan unos días para el parche

Actualmente, el agujero de seguridad no tiene un parche, pero el plomo técnico del Proyecto Cero Ben Hawkes tuiteó que esperan que uno sea liberado el 10 de noviembreth, que coincide con el próximo Patch Tuesday.

Microsoft, por su parte, a condición de que esta declaración TechCrunch:

“Microsoft tiene un compromiso con el cliente para investigar los problemas de seguridad detectados y dispositivos de actualización impactado a los clientes a proteger. Si bien trabajamos para cumplir con los plazos de divulgación de todos los investigadores, incluidos los plazos a corto plazo como en este escenario, el desarrollo de una actualización de seguridad es un equilibrio entre la puntualidad y la calidad, y nuestro objetivo ultimate es ayudar a garantizar la máxima protección al cliente con una interrupción mínima del cliente. «

Un portavoz de la compañía también agregó que el ataque parece ser bastante limitado y que no hay pruebas que indiquen que sea un problema generalizado. Se cree que los ataques a ser no relacionado con las próximas elecciones presidenciales de EE. UU..

Desde principios de este año, Microsoft ha revelado y parcheado varios errores graves en Windows, incluido un par de días cero en marzo y una vulnerabilidad descubierta por la Agencia de Seguridad Nacional de los Estados Unidos (NSA).





Enlace a la noticia primary