El Proyecto Cero de Google ha reportado que un error en el controlador de criptografía del kernel de Windows está siendo objeto de ataques de explotación en Internet. El error -advierte- está sujeto a un plazo de divulgación de 7 días.
Proyecto Cero es un equipo de analistas de seguridad de Google que tienen como objetivo encontrar ataques de día cero. Su política de divulgación de vulnerabilidades es a los 90 días de descubrirlas o cuando el parche está disponible, lo que ocurra primero.
El reporte, publicado el 22 de octubre, indica que el controlador de criptografía del kernel de Windows (cng.sys) expone un dispositivo \Device\CNG a programas en modo usuario y admite una variedad de IOCTL con estructuras de entrada no triviales. Constituye una superficie de ataque accesible localmente que se puede explotar para la escalada de privilegios (como el escape de la zona de pruebas).
En la publicación se ha incluido el código fuente de un programa de prueba de concepto, probado en una versión actualizada de Windows 10 1903 (64 bits), aunque se cree que la vulnerabilidad está presente desde al menos Windows 7. El fallo del sistema es más fácil de reproducir con Special Pools habilitado para cng.sys, pero incluso en la configuración predeterminada, la corrupción de 64kB de datos del kernel casi seguramente bloqueará al sistema poco después de ejecutar el exploit.
Es posible que el fallo de seguridad de Windows sea reparado en el martes de parches de noviembre, aunque según la gravedad de los ataques Microsoft podria emitir el parche antes.
El caso ya ha sido reportado a Microsoft por el Proyecto Cero de Google. Ahora, cuenta con 7 días para corregir la vulnerabilidad de seguridad bajo explotación activa antes de que sean divulgados los detalles de la misma.