Cazadores de ataques Dia-0 de Google encuentran una grave falla RCE en Windows

The Hackers News
11/05/2017

Cazadores de ataques día cero de Google encuentran una grave falla RCE en Windows.

Tweet acerca de la falla RCE de Windows

Microsoft ha lanzado una actualización de seguridad de emergencia para parchar una falla reportada como vulnerabilidad de ejecución severa en su Motor de Protección de Malware (MMPE por sus siglas en inglés) que afecta a computadoras con Windows 7, 8.1, RT, así como a sistemas operativos Windows Server 2016.

Los investigadores en seguridad del Proyecto Cero (o Project Zero[1]) de Google han descubierto otra vulnerabilidad de ejecución de código remota (RCE[2]) crítica en el sistema operativo Windows de Microsoft, afirmando que es algo realmente malo.

Travis Ormandy anunció durante el fin de semana que él y otra investigadora del Proyecto Cero Natalie Silvanovich descubrieron “la peor vulnerabilidad de (ejecución de) código remoto que se recuerde recientemente. Esto es algo realmente grave. Reporte en progreso.”

Ormandy no dio más detalles del error de RCE en Windows, mientras que Google da una fecha límite de divulgación de seguridad de 90 días a todos los fabricantes de software para parchar sus productos y darlo a conocer al público.

Esto significa que los detalles de la nueva vulnerabilidad de RCE en Windows serán probablemente hechos públicos en 90 días a partir de ahora incluso si Microsoft no corrige el problema.

Sin embargo, Ormandy reveló después algunos detalles de la falla RCE de Windows, dejando claro que:

  • La vulnerabilidad que ellos afirman haber descubierto funciona en contra de instalaciones de Windows por defecto.
  • El atacante no necesita estar en la misma red de área local (LAN) al igual que la víctima, lo que significa que las computadoras con Windows vulnerables pueden ser comprometidas remotamente.
  • El ataque tiene capacidades para “hacerse gusano”[3] para propagarsea a sí mismo.

A pesar de ni siquiera haber liberado detalles técnicos de la falla RCE, algunos profesionales de TI que trabajan para corporativos han criticado al investigador de Proyecto Cero de Goggle por hacer pública la existencia de la vulnerabilidad, mientras que la comunidad Infosec de Twitter está contenta con el trabajo.

“Si un tweet está causando pánico en su organización, el problema no es el tweet, el problema es su organización”, tuiteó la investigadora de Project Cero Natalie Silvanovich.

Esta no es la primera vez que los investigadores en seguridad de Google han descubierto fallas en los productos de Microsoft. Lo más reciente fue en febrero, los investigadores de Google divulgaron los detalles de una vulnerabilidad sin parchar que afectaba a los navegadores Edge e Internet Explorer de Microsoft.

Microsoft lanzó un parche como parte de su siguiente Martes de Parche (o Patch Tuesday[4]) pero criticó a Google por hacer todos los detalles públicos, exponiendo a millones de usuarios de Windows al riesgo de ser atacados.

Microsoft aún no ha respondido a las últimas declaraciones, pero la compañía tiene su Patch Tuesday agendado para el martes 9 de Mayo de 2017, así que con suerte, incluirá in parche de seguridad para resolver éste problema.

 


[1] Project Zero es el nombre del equipo de analistas de seguridad, contratados por Google para encontrar vulnerabilidades Día Cero (0-day) que los hackers mal intencionados pueden explotar más información: https://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero

[2] RCE o Remote Code Execution, es una la forma de ejecutar código en un sistema de cómputo de manera remota

[3] En el original wormable se refiere a que aprovechando una vulnerabilidad para que una pieza de código se convierta en un gusano informático de red (network (Network Worm) para propagarse en una red de computadoras.

[4] Término informal usado para referirse a cuando Microsoft lanza sus parches de seguridad de manera regular