Ya sabéis que Google Project Zero es ese proyecto que busca vulnerabilidades de productos y servicios. El refrán «Consejos vendo que para mí no tengo» podría ser aplicado a esta situación. La manera de actuar es ofrecer a la empresa afectada un plazo de tiempo prorrogable para solventar las vulnerabilidades.
Si no se cumple Google desvela la vulnerabilidad y como hacer uso de dicha vulnerabilidad. Esto, es algo que hemos visto frecuentemente, pero esta vez han desvelado una vulnerabilidad en plenas fiestas navideñas.
Google Project Zero pone en un aprieto a los ingenieros de Windows 10 en Navidad
El error que ha revelado públicamente es un error de seguridad en Windows. Si se explota, puede conducir a la elevación de privilegios.
El funcionamiento es el siguiente: Un proceso malintencionado puede enviar mensajes de llamada a procedimiento local (LPC) al proceso de Windows splwow64.exe. A través del cual un atacante puede escribir un valor arbitrario en un espacio de memoria de una dirección arbitraria en el espacio de memoria de splwow64. Esto significa esencialmente que el atacante controla esta dirección de destino y cualquier contenido que se copie en ella.
El defecto en cuestión no es exactamente nuevo. De hecho, un investigador de seguridad de Kaspersky informó a principios de este año y Microsoft lo parcheó en junio. Sin embargo, este parche ahora ha sido determinado como incompleto por Maddie Stone de Google Project Zero. Maddie indica que la corrección de Microsoft sólo cambia los puntos a un desplazamiento. Lo que significa que un atacante todavía puede explotarlo utilizando el valor de desplazamiento.
El día cero fue reportado de forma privada a Microsoft por Google Project Zero el 24 de septiembre, con el plazo estándar de 90 días que expirará el 24 de diciembre. Microsoft inicialmente planeó lanzar una corrección en noviembre, pero ese período de tiempo de lanzamiento se deslizó a diciembre. Después de eso, le dijo a Google que había identificado nuevos problemas en sus pruebas, y ahora lanzará un parche en enero de 2021.
Project Zero podría ser más intransigente en 2021
El 8 de diciembre, las dos partes se reunieron para discutir los progresos y los próximos pasos. Donde se determinó que el período de gracia de 14 días no se puede ofrecer a Microsoft. La compañía planea lanzar el parche para el día 12 de enero de 2021, seis días durante el plazo del período de gracia. Stone ha declarado que, si bien no cree que una solución incompleta merezca un nuevo plazo de 90 días, esto todavía se ha seguido como el valor predeterminado.
El equipo de Project Zero planea revisar sus políticas de nuevo el próximo año, pero ha revelado públicamente la vulnerabilidad con código de prueba de concepto. El informe técnico no está claro a qué versiones de Windows afecta. Pero el informe de Kaspersky de hace unos meses indica que los atacantes lo han estado utilizando para atacar a nuevas compilaciones de Windows 10.
