Microsoft confirma vulnerabilidad 0-day en el kernel de Windows

02 Noviembre 2020
Crítico

El equipo Project Zero de Google ha descubierto una vulnerabilidad en el kernel de Windows que estaría siendo explotada activamente en estos momentos. El fallo de seguridad se encuentra en la implementación del controlador de criptografía del kernel de Windows (cng.sys), que realiza un truncamiento incorrecto de enteros de 16 bits que podría provocar un desbordamiento de memoria intermedia. Esta vulnerabilidad ha sido identificada como CVE-2020-17087.

CVE-2020-17087

Indexado como CVE-2020-17087, el error afecta al menos a Windows 7 y Windows 10, según Google. Los atacantes pueden usar la falla para escalar los privilegios del sistema. La vulnerabilidad surge debido a un desbordamiento del búfer en un componente de Windows utilizado para funciones criptográficas.

"El controlador de criptografía del kernel de Windows (cng.sys) expone un dispositivo \ Device \ CNG a programas en modo usuario y admite una variedad de IOCTL con estructuras de entrada no triviales", dijo el equipo de Project Zero en una publicación. "Constituye una superficie de ataque accesible localmente que se puede explotar para la escalada de privilegios ", agregaron.

Prueba de concepto (PoC)

Los investigadores también han incluido el código de explotación PoC, que se ha probado en Windows 10 1903 (64 bits), pero notaron que el controlador afectado ( cng.sys ) "parece haber estado presente desde al menos Windows 7", lo que significa que todas las demás versiones de Windows compatibles son probablemente vulnerables.

Los investigadores dicen que los ciberdelincuentes han estado utilizando un exploit para CVE-2020-17087, en combinación con un error de Chrome recientemente corregido, para lanzar ataques. Habilitando la vulnerabilidad de Chrome (indexada como CVE-2020-15999) para eludir una security sandbox y ejecutar código en sistemas vulnerables. 

CVE-2020-15999

CVE-2020-15999, vulnerabilidad informada en anterior boletin del 26 de octubre, descrita como una falla de corrupción de memoria en la biblioteca de renderizado de fuentes FreeType. FreeType es una biblioteca de desarrollo de software de código abierto que facilita varias operaciones de representación de fuentes. también afectaría a Microsoft Edge. Esta vulnerabilidad fue corregida en Google Chrome quien se actualizó el 20 de octubre, mientras que Microsoft Edge se actualizó el 22 de octubre.

Microsoft

Aunque Microsoft confirmó el ataque informado, sugiere que no hay indicios de que tenga un exploit generalizado, sino un alcance limitado del objetivo. Mientras tanto, el ataque en sí requiere dos vulnerabilidades combinadas para lanzar un exploit exitoso. Actualmente, no se conoce ningún ataque por vulnerabilidad de Windows. Sin embargo, esto no significa que la máquina sea completamente segura ya que un ciberdelincuente con acceso al sistema ya comprometido podría explotarla, aunque la vulnerabilidad no puede afectar la funcionalidad criptográfica.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante cuando esten disponibles en medios oficiales del proveedor. Es muy factible esperar un parche para el martes 10 de noviembre de 2020, dentro del ciclo habitual de «Patch Tuesday Microsoft» 
    • En un comunicado, Microsoft dijo que estaba comprometido a "investigar los problemas de seguridad informados y actualizar los dispositivos afectados para proteger a los clientes". 

El listado de las CVE se adjunta a continuación:


Tags: #windows #vulnerabilidad #day-cero #Zero #kernel #cng sys #CVE-2020-17087


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.