descubren nuevo tipo de debilidad en la seguridad de Windows.

Compártelo en tus redes sociales...
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter

Microsoft ha dicho que planea solucionar una nueva clase de error de seguridad de Windows descubierto por un investigador de Google Project Zero a pesar de que no encuentra evidencia concluyente de que represente una amenaza para los usuarios.

La debilidad inusual y complicada parece haber pasado desapercibida en Windows desde XP y se remendará en la próxima versión de Windows 10, actualmente llamada 19H1 (también conocida como versión 1903).

Pero si no es una amenaza clara, ¿por qué parchearlo? Para la respuesta a eso, necesitamos explorar la historia de fondo.

De acuerdo con el investigador del Proyecto Cero James Forshaw, descubrió por primera vez lo que supuso que era un problema de Elevación de Privilegios (EoP) relativamente simple en modo kernel en 2016, y finalmente fue corregido por Microsoft como CVE-2016-3219.

Sin embargo, después de un año, se dio cuenta de que había tropezado con un agujero lógico más grande que podría permitir que el malware que se ejecuta en modo de usuario (lo que limita los privilegios) se deslizara de los privilegios a través de la interacción de los controladores de modo kernel de Microsoft y de terceros y el Subsistema administrador de E/S de Windows.

Sin embargo, Forshaw aún no pudo crear una prueba de concepto funcional (muchos aspectos de estas interacciones de código más profundas son difíciles sin un conocimiento propietario), lo que lo obliga a ponerse en contacto con Microsoft para obtener ayuda:

Esto llevó a reuniones con varios equipos en Bluehat 2017 en Redmond, donde se formó un plan para que Microsoft use su acceso al código fuente para descubrir el alcance de esta clase de error en el núcleo de Windows y en la base del código del controlador.

Después de mucho trabajo ejecutando numerosas interacciones de código a través de herramientas de análisis estático, Microsoft decidió:

Parece que no hay una combinación de iniciador y receptor [jerga para las funciones de la API] presente en las versiones de Windows compatibles actualmente que podrían usarse para la escalada local de privilegios fuera de la caja.

Sin embargo, debido a que hay numerosos controladores de terceros que podrían explotarse y que la clase de error que encontró Forshaw parecía tan nueva e inesperada, Microsoft decidió adoptar un enfoque cauteloso y solucionar el problema de todos modos. Una posibilidad era hacer un cambio de API a gran escala, pero esto se descartó porque corría el riesgo de romper el software existente. Además de emitir un arreglo en la próxima versión de Windows que se lanzará en abril, Microsoft planea actualizar su documentación de programación para llamar la atención sobre el problema y quiere que los desarrolladores revisen su código …

… para garantizar el procesamiento correcto de las solicitudes de IRP y el uso defensivo de las API abiertas de archivos.

Teniendo en cuenta la forma en que las dos compañías han discutido en el pasado sobre el tema del estricto calendario de divulgación de 90 días de Google, el elogio para Forshaw de Microsoft es inesperadamente cálido:

Un investigador que constantemente nos informa sobre vulnerabilidades interesantes y de alta calidad es James Forshaw, de Google Project Zero.

Aun así, el Forshaw de Google no pudo resistir una pequeña excavación con respecto a elementos específicos de la debilidad:

Vale la pena señalar que, si bien apliqué la fecha límite de divulgación estándar de 90 días al informe del servidor SMB, no apliqué una fecha límite explícita al informe de la clase de error.

Compártelo en tus redes sociales...
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.