Google publica otra vulnerabilidad de Windows que Microsoft no parchea a tiempo

Desde hace tiempo hay cierto “pique” entre Google y Microsoft cuando se refiere a encontrar fallos de seguridad en sus productos y servicios. El gigante de Redmond acusó al de Mountain View de divulgar forma irresponsable las vulnerabilidades de Windows, una queja que más de un año después se repitió con respecto las zero-day de Flash.

Google volvió a poner a Microsoft en evidencia con una vulnerabilidad hallada en Microsoft Edge en febrero de 2017. Ante esta situación, la compañía dirigida por Satya Nadella decidió “responder” quejándose de cómo la compañía del buscador gestionaba las que estaban presentes en Chrome en octubre de 2017, mientras que en febrero de 2018 nos hicimos eco de otra hallada en Microsoft Edge publicada por Google.

Más recientemente, Google (mediante Project Zero) ha tomado la decisión de publicar una vulnerabilidad hallada en .NET Framework que permite a un atacante interferir en Windows Lockdown Policy (WLDP). El fallo permite saltarse las barreras de un sistema Windows 10 vulnerable con la Integridad del Código del Modo Usuario (UMCI/User Mode Code Integrity) de Device Guard (DG) habilitada, abriendo la puerta a que un atacante pueda ejecutar código arbitrario. La vulnerabilidad pierde importancia si tenemos en cuenta que requiere de acceso físico a la máquina para explotarla y no permite ninguna elevación de privilegios, requiriendo así al atacante tener ya instalado una malware en la máquina objetivo.

Obviamente, la publicación de la vulnerabilidad por parte de Google ha generado otro conflicto con Microsoft. Mientras que la primera notificó a la segunda de la presencia de la vulnerabilidad el 19 de enero, el gigante de Redmond no fue capaz de cumplir los plazos que impone Project Zero. Se planteó la posibilidad de aplicar una extensión del tiempo de 14 días, pero la propuesta que fue rechazada.

Microsoft tendrá listo el parche para las actualizaciones de seguridad correspondientes al mes de mayo, pero Google ya ha publicado una prueba de concepto de la vulnerabilidad, que podrá ser explotada mientras los usuarios no puedan y no tengan aplicadas las futuras actualizaciones mencionadas, que serán publicadas en Spring Creators Update (Redstone).

Pero Google va un paso más, cuestionando la protección ofrecida por Device Guard a la hora de bloquear el entorno, cosa que afecta a Windows 10 S además de cualquier sistema Windows 10 con UMCI habilitado.

Fuente: Naked Security