Google encontró y ayudó a resolver algunos errores durante los últimos meses, especialmente en Microsoft Edge y Windows 10. Ahora, el gigante tecnológico ha revelado un problema de seguridad «medio» en sistemas que tienen habilitada la integridad del código de modo de usuario (UMCI). Windows 10 S fue el sistema operativo que se utilizó como ejemplo porque tiene la política habilitada por defecto.
Windows 10 S es un sistema operativo seguro a pesar del nuevo hallazgo
Windows 10 S es un sistema operativo altamente seguro, pero tiene su propia cuota de restricciones, incluyendo el hecho de que no se pueden ejecutar aplicaciones Win32 en él. El equipo del Proyecto Cero de Google encontró un defecto en el sistema operativo que permite la extensión arbitraria de código en un sistema que tiene habilitado UMCI. En Windows 10 S, Device Guard está activado de forma predeterminada.
La vulnerabilidad sólo afecta a los sistemas que tienen habilitado Device Guard, y el fallo no puede ser explotado desde otros sistemas de forma remota. Para poder hacer esto, un atacante tendría que tener el código ya ejecutándose en el sistema para poder modificar las entradas del registro. Esto reduciría significativamente la gravedad del problema. Según Google, el defecto no sería tan grave si se arreglaran otros métodos de bypass. Por ejemplo, la Ejecución Remota de Código (RCE) en Edge todavía no está fijada. Esta es la razón por la que el defecto fue clasificado como «medio».
Google reveló la falla justo antes del martes de parche de abril de Microsoft
El momento del hallazgo de Google y el anuncio sobre la debilidad fue un poco extraño, teniendo en cuenta que Microsoft no podía haberlo arreglado antes del lanzamiento del parche. Esto es lo que llevó al gigante de Redmond a solicitar una prórroga de 14 días.
Por otro lado, Microsoft informó a Google que el próximo mes lanzaría una solución en el May Patch Tuesday. Google rechazó la solicitud de Microsoft, y no le dio a la empresa los 14 días que pidió, al mismo tiempo que hizo público el fallo.