Google ha revelado a través de su blog oficial sobre seguridad una vulnerabilidad crítica en el sistema operativo de Windows 10. Un fallo crítico específico que permite a un atacante aprovechar una vulnerabilidad en el sistema win32k. Por otro lado, Microsoft criticó la decisión de Google porque la divulgación pone a los clientes en riesgo.

¿Son suficientes 7-10 días para parchear un fallo de seguridad?

Los de Mountain View explican en la entrada que el bug es lo suficientemente grave como para ser categorizado como crítico, ya que según Google está siendo explotado activamente por terceros. Como resultado de ello, han dado el paso de hacerlo público pasados 10 días desde que se lo notificaron a Microsoft.

Desde el blog, Google también explica que ellos ya han implementado una solución para proteger a los usuarios que hagan uso de Chrome, sin embargo Windows sigue siendo vulnerable en estos momentos. La revelación de Google proporciona solamente una descripción general del bug, lo que ofrece a los usuarios suficiente información para reconocer el posible ataque.

Adobe si parcheó Flash

Cabe señalar que Google también reportó el 21 de octubre pasado, una vulnerabilidad en Flash (CVE-2016-7855), que la compañía parcheó 5 días después. La vulnerabilidad de Windows aún no ha sido parcheada.

• https://helpx.adobe.com/security/products/flash-player/apsb16-36.html

La explotación del fallo también depende de un exploit separado en Adobe Flash, para el cual la compañía también ha lanzado un parche. Sin embargo y como apuntan desde The Verge, es probable que sabiendo ahora de la existencia del problema muchos otros intentarán buscar formas viables de explotarlo contra los equipos que aún no han actualizado Flash.

The Windows vulnerability is a local privilege escalation in the Windows kernel that can be used as a security sandbox escape. It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD. Chrome's sandbox blocks win32k.sys system calls using the Win32k lockdown mitigation on Windows 10, which prevents exploitation of this sandbox escape vulnerability.

Mientras tanto, la respuesta de Microsoft a la publicación de Google no se ha hecho esperar. Los de Redmond han criticado duramente la divulgación de la vulnerabilidad, a través de un portavoz de la compañía que ha explicado lo siguiente:

La revelación en el día de hoy por parte de Google pone a los clientes en un riesgo potencial. Siempre recomendamos a los usuarios que utilicen Windows 10 y el navegador Microsoft Edge para una mejor protección.

Terry Myerson, vicepresidente ejecutivo del grupo de Windows y dispositivos de Microsoft, confirmó que la vulnerabilidad del kernel de Windows estaba siendo explotada por un grupo de APT. Microsoft identifica al grupo APT como STRONTIUM, Pawn-Storm, APT28 y Fancy Bear.

Los clientes de Microsoft que utilizan Windows 10 con Windows Defender Advanced Threat Detection no están expuestos a la explotación de la falla.

Los clientes que han habilitado la Protección Avanzada de Amenazas (ATP) de Windows Defender detectarán los intentos de ataques de STRONTIUM gracias a las analíticas de detección de comportamiento genéricos de ATP ya la inteligencia de amenazas actualizada

La publicación de Google sobre el bug forma parte de las políticas de la compañía que se pusieron en marcha en el 2013. Ese año se aprobó que las vulnerabilidades críticas se divulguen tan solo siete días después de que se hayan reportado al proveedor. Una política muy criticada por las áreas de seguridad, ya que argumentan que una semana no es suficiente en muchos casos para responder adecuadamente a una vulnerabilidad compleja. Finalmente, Google termina su entrada con un recordatorio para los usuarios:

Animamos a los usuarios a verificar en sus equipos que las actualizaciones automáticas ya hayan actualizado Flash, y si no, a que lo hagan manualmente, junto a los parches para Windows de Microsoft cuando estén disponibles.