El Grup d’anàlisi de amenaces de Google ha descobert recentment un conjunt de vulnerabilitats nocives a Adobe Flash i al nucli de Microsoft Windows que s’estaven utilitzant activament per a atacs de programari maliciós contra el navegador Chrome. Google ha anunciat públicament el defecte de seguretat a Windows només deu dies després de divulgar-lo a Microsoft el 21 d'octubre. Google també va assenyalar que aquest defecte podria ser utilitzat de forma agressiva per atacants i codificadors per comprometre la seguretat en sistemes Windows mitjançant l’accessibilitat al nivell d’administrador a la equips que utilitzen un programari maliciós.

Es pot aconseguir permetent que els desenvolupadors menys honrats puguin escapar del sandbox de seguretat de Windows que només executa aplicacions a nivell d’usuari sense necessitat d’accés d’administració. Aprofundint una mica més en els aspectes tècnics, la win32k.sys, una biblioteca del sistema Windows amb suport llegat utilitzada principalment per als gràfics, es publica una trucada específica que permet accedir completament a l'entorn de Windows. Google Chrome ja té un mecanisme de defensa per a aquest tipus de falles i bloqueja aquest atac a Windows 10 mitjançant una modificació a la caixa de sorra de Chromium anomenada "bloqueig de Win32k".

Google va descriure aquesta vulnerabilitat particular de Windows de la següent manera:

“La vulnerabilitat de Windows és una escalada de privilegis locals al nucli de Windows que es pot utilitzar com a escapament de caixa de seguretat. Es pot activar mitjançant la trucada del sistema win32k.sys, NtSetWindowLongPtr () per a l'índex GWLP_ID en un controlador de la finestra amb GWL_STYLE establert en WS_CHILD. Les sandbox de Chrome bloquegen les trucades del sistema win32k.sys mitjançant la mitigació de bloqueig de Win32k a Windows 10, que impedeix l'explotació d'aquesta vulnerabilitat d'escapament de la caixa de sorra."

Tot i que aquest no és el primer encontre de Google amb un defecte de seguretat de Windows, van publicar una declaració pública sobre una vulnerabilitat i després es va confirmar al meu Microsoft per publicar una nota pública abans del límit oficial de set dies que es concedeix als fabricants de programari per emetre una correcció.

"Després de 7 dies, segons la nostra política publicada per a vulnerabilitats crítiques explotades activament, avui revelem l'existència d'una vulnerabilitat crítica restant a Windows per a la qual encara no s'ha publicat cap assessorament o correcció", van escriure Neel Mehta i Billy Leonard, de Google's Threat Analysis. Grup ”. Aquesta vulnerabilitat és especialment greu perquè sabem que s’està explotant activament.”

Una vulnerabilitat de zero dies és un defecte de seguretat publicat per als usuaris. I ara que ha passat el període de set dies, encara no hi ha cap correcció disponible per a aquest error de Microsoft.

La vulnerabilitat de Flash (també divulgada el 21 d'octubre) que Google va compartir amb Adobe va quedar pegada el 26 d'octubre. Així, els usuaris poden simplement actualitzar-se a la versió més recent de Flash. Però, una vegada més, Microsoft ha assenyalat activament que per a un complement web simple com Flash, l'emissió d'un pegat en set dies no és un objectiu difícil, però per a un sistema operatiu complex com Windows, és gairebé impossible de codificar, provar i emetre. un pegat per un defecte de seguretat en una setmana.

No només Microsoft, sinó moltes altres entitats de programari importants s’han oposat activament a aquesta controvertida política de Google de revelar defectes dins d’un límit d’una setmana, sinó que Google ha mantingut que és més segur per a la seguretat pública crear consciència sobre un error persistent que pugui comprometre la seguretat dels usuaris.