Google 0-Day Hunters Encuentra ‘Crazy Bad’ Windows Falla RCE

windows-zero-day-remote-code-execute-exploit

Actualización (lunes 08 de mayo de 2017): Microsoft ha lanzado una actualización de seguridad de emergencia para parchear la vulnerabilidad de ejecución remota de código remoto mal informada a continuación en su motor de protección contra malware de Microsoft (MMPE) Windows 7, 8.1, RT y 10 computadoras, así como Windows Sistemas operativos Server 2016.

Los investigadores de seguridad de Google Project Zero han descubierto otra vulnerabilidad crítica de ejecución remota de código (RCE) en Microsoft Windows sistema operativo, alegando que es algo realmente malo.

Tavis Ormandy anunci√≥ durante el fin de semana que √©l y otra investigadora del Proyecto Cero Natalie Silvanovich descubrieron “lo peor Windows c√≥digo remoto [execution vulnerability] en memoria reciente. Esto es una locura mala. Informar sobre el camino “.

Ormandy no proporcion√≥ m√°s detalles del Windows Error de RCE, ya que Google da un plazo de divulgaci√≥n de seguridad de 90 d√≠as a todos los proveedores de software para parchear sus productos y divulgarlos al p√ļblico.

Esto significa los detalles de la nueva vulnerabilidad RCE en Windows probablemente se divulgará en 90 días a partir de ahora, incluso si Microsoft no soluciona el problema.

Sin embargo, Ormandy luego reveló algunos detalles de la Windows Defecto de RCE, aclarando que:

  • La vulnerabilidad que afirmaron haber descubierto funciona contra el incumplimiento Windows instalaciones
  • El atacante no necesita estar en la misma red de √°rea local (LAN) que la v√≠ctima, lo que significa vulnerable Windows Las computadoras pueden ser pirateadas de forma remota.
  • El ataque es “wormable”, capacidad de propagarse.

A pesar de no haber publicado ning√ļn detalle t√©cnico sobre la falla de RCE, algunos profesionales de TI que trabajan para empresas han criticado al investigador de Google Project Zero por hacer p√ļblica la existencia de la vulnerabilidad. TwitterLa comunidad de infosec est√° contenta con el trabajo.

“Si un tweet est√° causando p√°nico o confusi√≥n en su organizaci√≥n, el problema no es el tweet, sino la organizaci√≥n”, tuite√≥ la investigadora del Proyecto Cero Natalie Silvanovich.

Esta no es la primera vez que los investigadores de seguridad de Google descubren fallas en los productos de Microsoft. M√°s recientemente, en febrero, los investigadores de Google revelaron los detalles de una vulnerabilidad sin parches que afecta a los navegadores Microsoft Edge e Internet Explorer.

Microsoft lanz√≥ un parche como parte de su pr√≥ximo parche el martes, pero critic√≥ a Google por hacer p√ļblicos todos los detalles, exponiendo millones de sus Windows usuarios en riesgo de ser pirateados.

Microsoft a√ļn no ha respondido a los √ļltimos reclamos, pero la compa√Ī√≠a tiene su martes de parche de mayo de 2017 programado para ma√Īana, mayo 9, con suerte, incluir√° un parche de seguridad para resolver este problema.