Google comparte detalles de una falla de seguridad del controlador de criptografía del kernel de Windows que está siendo explotada por piratas informáticos

Google ha compartido detalles de un error en el controlador de criptografía del kernel de Windows (cng.sys) que actualmente está siendo explotado por piratas informáticos.

El equipo de Project Zero ya había compartido en privado los detalles de la falla de seguridad con Microsoft hace poco más de una semana, pero ahora que se está explotando activamente, la compañía se ha hecho pública. La falla de día cero se rastrea como CVE-2020-117087, y es probable que Microsoft no la aborde durante un par de semanas.

Una publicación en la página Project Zero explica: «El controlador de criptografía del kernel de Windows (cng.sys) expone un dispositivo \ Device \ CNG a programas en modo de usuario y admite una variedad de IOCTL con estructuras de entrada no triviales. Constituye un dispositivo accesible localmente superficie de ataque que se puede explotar para la escalada de privilegios (como escape de la caja de arena) «.

El equipo de Project Zero informó a Microsoft de la falla de seguridad el 22 de octubre, pero ahora dice: «Tenemos evidencia de que el siguiente error se está utilizando en la naturaleza. Por lo tanto, este error está sujeto a un plazo de divulgación de 7 días».

Ben Hawkes de Project Zero se dirigió a Twitter para decir:

En un comunicado, Microsoft respondió a la divulgación diciendo:

Microsoft tiene un compromiso con el cliente de investigar los problemas
de seguridad informados y actualizar los dispositivos afectados para proteger a los clientes. Si bien trabajamos para cumplir con los plazos de divulgación de todos los investigadores, incluidos los plazos a corto plazo como en este escenario, el desarrollo de una actualización de seguridad es un equilibrio entre la puntualidad y la calidad, y nuestro objetivo final es ayudar a garantizar la máxima protección al cliente con una interrupción mínima del cliente.

FUENTE: betanews

Comments are closed.