El Grupo de Análisis de Amenazas de Google ha descubierto recientemente un conjunto de vulnerabilidades dañinas en Adobe Flash y el kernel de Microsoft Windows que se estaban utilizando activamente para ataques de malware contra el navegador Chrome. Google anunció públicamente la falla de seguridad en Windows solo 10 días después de divulgarla a Microsoft el 21 de octubre. Google también señaló que esta falla podría ser utilizada agresivamente por los atacantes y codificadores para comprometer la seguridad en los sistemas Windows al obtener acceso de nivel de administrador a la computadoras que usan malware.

Esto se puede lograr permitiendo que los desarrolladores menos que honestos escapen del entorno limitado de seguridad de Windows que ejecuta solo aplicaciones de nivel de usuario sin necesidad de acceso de administrador. Profundizando un poco más en los tecnicismos, win32k.sys, una biblioteca de sistema de soporte heredado de Windows utilizada principalmente para gráficos, recibe una llamada específica que otorga acceso completo al entorno de Windows. Google Chrome ya tiene un mecanismo de defensa para este tipo de falla y bloquea este ataque en Windows 10 mediante una modificación al entorno limitado de Chromium llamado "bloqueo de Win32k".

Google describió esta vulnerabilidad particular de Windows de la siguiente manera:

“La vulnerabilidad de Windows es una escalada de privilegios locales en el kernel de Windows que se puede usar como un escape de caja de seguridad. Se puede activar a través del sistema win32k.sys, llame a NtSetWindowLongPtr () para el índice GWLP_ID en un identificador de ventana con GWL_STYLE establecido en WS_CHILD. El sandbox de Chrome bloquea las llamadas al sistema win32k.sys utilizando la mitigación de bloqueo de Win32k en Windows 10, lo que evita la explotación de esta vulnerabilidad de escape sandbox ".

Aunque este no es el primer encuentro de Google con una falla de seguridad de Windows, publicaron una declaración pública sobre una vulnerabilidad y luego criticaron a mi Microsoft por publicar una nota pública antes del límite oficial de siete días que se otorga a los fabricantes de software para emitir una solución.

"Después de 7 días, según nuestra política publicada para vulnerabilidades críticas explotadas activamente, hoy estamos revelando la existencia de una vulnerabilidad crítica restante en Windows para la cual aún no se ha publicado ninguna advertencia o solución", escribieron Neel Mehta y Billy Leonard de Google Threat Analysis. Grupo ". Esta vulnerabilidad es particularmente grave porque sabemos que está siendo explotada activamente".

Una vulnerabilidad de día cero es una falla de seguridad públicamente nueva para los usuarios. Y ahora que ha transcurrido el período de siete días, todavía no hay una corrección de parche disponible con respecto a este error de Microsoft.

La vulnerabilidad de Flash (también revelada el 21 de octubre) que Google compartió con Adobe fue parcheada el 26 de octubre. Por lo tanto, los usuarios pueden simplemente actualizar a la última versión de Flash. Pero, de nuevo, Microsoft ha señalado activamente que para un complemento web simple como Flash, la emisión de un parche dentro de los siete días no es un objetivo desafiante, pero para un sistema operativo complejo como Windows, es casi imposible codificar, probar y emitir un parche para una falla de seguridad dentro de una semana.

No solo Microsoft, sino muchas otras entidades de software importantes se han opuesto activamente a esta controvertida política de Google de revelar fallas dentro del límite de una semana, pero Google ha mantenido que es más seguro para la seguridad pública crear conciencia sobre un error persistente que puede comprometer la seguridad del usuario.