El grupo de análisis de amenazas de Google ha descubierto recientemente un conjunto de vulnerabilidades dañinas en Adobe Flash y el núcleo de Microsoft Windows que se estaban utilizando activamente para ataques de malware contra el navegador Chrome. Google ha anunciado públicamente el fallo de seguridad de Windows sólo 10 días después de revelarlo a Microsoft el 21 de octubre. Google también señaló que este defecto podría ser utilizado agresivamente por los atacantes y codificadores para comprometer la seguridad de los sistemas Windows al obtener acceso de nivel de administrador a los equipos que utilizan un malware.
Esto puede lograrse permitiendo a los desarrolladores menos que honestos escapar de la caja de arena de seguridad de Windows que ejecuta sólo aplicaciones a nivel de usuario sin necesidad de acceso de administrador. Profundizando un poco más en los tecnicismos, el win32k.sys, una biblioteca de sistema de soporte heredada de Windows utilizada principalmente para gráficos, recibe una llamada específica que concede acceso completo al entorno Windows. Google Chrome ya tiene un mecanismo de defensa para este tipo de fallo y bloquea este ataque a Windows 10 mediante una modificación de la caja de arena de cromo llamada «Win32k lockdown «.
Google describió esta vulnerabilidad particular de Windows de la siguiente manera:
«La vulnerabilidad de Windows es una escalada de privilegios locales en el kernel de Windows que puede utilizarse como escape de caja de arena de seguridad. Puede activarse a través del sistema win32k.sys llamado NtSetWindowLongPtr() para el índice GWLP_ID en una manilla de ventana con GWL_STYLE ajustado a WS_CHILD. La caja de arena de Chrome bloquea las llamadas del sistema win32k.sys usando la mitigación de bloqueo de Win32k en Windows 10, lo que evita la explotación de esta vulnerabilidad de escape de la caja de arena».
Aunque este no es el primer encuentro de Google con un fallo de seguridad de Windows, publicaron una declaración pública sobre una vulnerabilidad y más tarde golpearon a mi Microsoft por publicar una nota pública antes del límite oficial de siete días que se concede a los fabricantes de software para emitir una corrección.
«Después de 7 días, según nuestra política publicada para vulnerabilidades críticas activamente explotadas , hoy estamos revelando la existencia de una vulnerabilidad crítica restante en Windows para la que aún no se ha publicado ningún aviso o arreglo», escribieron Neel Mehta y Billy Leonard, del Grupo de Análisis de Amenazas de Google, «Esta vulnerabilidad es particularmente grave porque sabemos que está siendo explotada activamente».
Una vulnerabilidad de día cero es una falla de seguridad revelada públicamente que es nueva para los usuarios. Y ahora que el período de tiempo de siete días ha pasado, todavía no hay ningún parche disponible con respecto a este error de Microsoft.
La vulnerabilidad de Flash (también revelada el 21 de octubre) que Google compartía con Adobe fue parcheada el 26 de octubre. Así que los usuarios pueden simplemente actualizar a la última versión de Flash. Pero por otra parte, Microsoft ha señalado activamente que para un simple plugin web como Flash, emitir un parche en siete días no es un objetivo difícil, pero para un sistema operativo complejo como Windows, es casi imposible codificar, probar y emitir un parche para un fallo de seguridad en una semana.
No sólo Microsoft, sino muchas otras entidades de software importantes se han opuesto activamente a esta polémica política de Google de revelar los defectos dentro del límite de una semana, pero Google ha mantenido que es más seguro para la seguridad pública crear conciencia sobre un error persistente que puede comprometer la seguridad del usuario.