A equipe do Project Zero (GPZ) do Google divulgou na quarta-feira (27), uma falha considerada de alta gravidade no Windows, que se explorada pode causar elevação de privilégio.
Como a fabricante do Windows não conseguiu desenvolver um patch de correção adequado dentro de 90 dias após o recebimento da notificação, o Google divulgou publicamente os detalhes do bug.
De acordo com a política de divulgação revisada, o GPZ precisa esperar pelo menos 90 dias antes de revelar publicamente os detalhes de uma falha de segurança, mesmo que seja corrigido antes desse prazo.
Além disso, os fornecedores podem solicitar um período de carência adicional de 14 dias do Google se acreditarem que não serão capazes de corrigir a vulnerabilidade relatada em 90 dias.
A falha diz respeito a um processo de baixa integridade que pode enviar mensagens LPC para splwow64.exe (integridade média) e obter uma primitiva write-what-where no espaço de memória de splwow64.
A exploração bem-sucedida desta vulnerabilidade pode permitir que o invasor controle o destino, o conteúdo copiado e o número de bytes copiados por meio de uma chamada memcpy.
Esta falha conhecida como zero-day no Windows e originalmente rastreada como CVE-2020-0986 aparentemente não é nova. Na verdade, ela foi descoberta por um pesquisador de segurança da Kaspersky no verão passado, que mais tarde foi corrigido pela Microsoft em junho.
"Existe uma vulnerabilidade de elevação de privilégio quando o kernel do Windows não consegue lidar adequadamente com os objetos na memória. Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário no modo kernel. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário", disse a Microsoft em um comunicado emitido em junho.
Uma atualização lançada em junho de 2020 pela Microsoft incluiu um patch que abordou a vulnerabilidade, corrigindo o kernel do Windows lido com objetos na memória.
No entanto, de acordo com Maddie Stone, uma investigadora do Google Project Zero, este patch agora é considerado incompleto, uma vez que ele apenas altera os ponteiros para um deslocamento que permite que os atacantes o explorem.
"A Microsoft lançou um patch em junho, mas esse patch não corrigiu a vuln", disse ela em twitte na quarta-feira. "Depois de relatar aquela solução ruim em setembro com um prazo de 90 dias, ainda não foi corrigido."
Ela acrescentou: "O problema original era uma desreferência arbitrária de ponteiro que permitia ao invasor controlar os ponteiros src e dest para um memcpy. A 'correção' simplesmente mudou os ponteiros para os deslocamentos, o que ainda permite o controle dos argumentos para o memcpy."
A Microsoft atribuiu o nome de CVE-2020-17008 para o problema, que deve ser resolvido pela empresa até 12 de janeiro de 2021, devido a "problemas identificados em testes" após o planejamento do lançamento de uma correção em novembro.
Enquanto isso, o Project Zero divulgou publicamente a vulnerabilidade com um código de prova de conceito para o problema.
Fonte: Chromium