El equipo de investigación de Google Project Zero ha revelado un defecto en Windows 8.1 después de que Microsoft no cumplió con la fecha límite de noventa días para entregar el parche.

El equipo investigador de Google reveló secretamente la vulnerabilidad a Microsoft en septiembre del año pasado. El error se da en la llamada al sistema de Windows NtApphelpCacheControl, que al parecer puede ser explotado por un usuario malicioso y, aunque con cierta dificultad, podría lanzar un ejecutable arbitrario con privilegios elevados.

"Esta función tiene una vulnerabilidad que no comprueba el token correctamente para verificar la identidad de la persona y determinar si el usuario es un administrador", explicó un investigador de Google. [...] "Se comprueba la identidad de la persona utilizando PsReferenceImpersonationToken y luego se hace una comparación entre el identificador de seguridad del usuario [SID] y el token para el SID de LocalSystem." [...] "No se comprueba el nivel del usuario, por lo que es posible obtener un hilo de un proceso del sistema local y evadir esta comprobación."

"Con este fin, la prueba de concepto se basa en el uso del Servicio de transferencia inteligente y en los componentes del modelo de objetos para obtener el token de suplantación."

Project Zero es una iniciativa de seguridad lanzada por Google en julio de 2014, está diseñada para mejorar los niveles de seguridad cibernética a nivel mundial mediante la identificación y divulgación de vulnerabilidades de seguridad.

El proyecto da a conocer inicialmente defectos en privado a las empresas responsables de los sistemas vulnerables y les da un plazo de 90 días para liberar una solución antes de hacer pública la investigación.

La divulgación pública del fallo ha provocado controversia en la comunidad de seguridad. Algunos han criticado a Google por la divulgación pública con el argumento de que 90 días no es tiempo suficiente para corregir un defecto tan grave.

"Revelar automáticamente esta vulnerabilidad cuando un plazo se alcanza, sin tomar en cuenta el contexto, me parece increíblemente irresponsable. Hubiera esperado un mayor grado de atención y madurez de una compañía como Google", comentó un usuario en la publicación de divulgación de Google.

"Este sistema operativo es usado por millones. La exposición de vulnerabilidades como esta traen consecuencias de largo alcance. La gente podría salir perjudicada, más si no hay algo cercano a una solución", añadió otro.

Otros han elogiado a Google, argumentando que era irresponsable por parte de Microsoft ignorar las advertencias de los investigadores.

"Microsoft ha fallado, no realizó una evaluación de seguridad de las nuevas características antes de liberarlas en producción y ahora tiene que lidiar con las consecuencias", comentó un usuario. "Apoyo a Google por apegarse a su horario."

Actualmente no está claro si la falla está corregida. Microsoft no respondió a la solicitud del sitio V3 para hacer comentarios.

Chris Boyd, analista de inteligencia de malware en Malwarebytes, dijo a V3 que la falta de información sólida acerca de si se está explotando el fallo hace que sea difícil juzgar lo serio que es o si Microsoft ha actuado adecuadamente.

"Mientras que 90 días pueden ser tiempo suficiente para arreglar las fallas encontradas en muchas piezas de software, no podemos decir con certeza lo que Microsoft tendría que hacer para abordar ésta en particular", dijo.

Microsoft ha sido criticado por su lenta respuesta a los defectos de los que se les ha informado de manera privada en el pasado.