Google Project Zero revela falha de alta gravidade no Windows

Avatar de Redação
24/12/2020 às 12:00 | Atualizado há 4 anos
Google Project Zero revela falha de elevação de privilégio de alta gravidade no Windows

O Google Project Zero é bastante conhecido por descobrir vulnerabilidades no software desenvolvido pela própria empresa, bem como nos desenvolvidos por outras empresas. Sua metodologia envolve a identificação de falhas de segurança no software e relatá-las em particular aos fornecedores, dando-lhes 90 dias para corrigi-las antes da divulgação pública. Dependendo da complexidade da correção necessária, às vezes também oferece dias adicionais na forma de um período de carência.

CONTINUA DEPOIS DA PUBLICIDADE

A equipe de segurança descobriu e divulgou várias falhas de segurança nos últimos anos, após a incapacidade do fornecedor de corrigi-las em tempo hábil. Isso inclui drivers de GPU Adreno da Qualcomm, Windows da Microsoft, macOS da Apple e muito mais. Agora, ela divulgou publicamente um bug de segurança no Windows que, se explorado, pode levar à elevação de privilégio.

Tentaremos poupar você dos detalhes essenciais, como de costume, apresentando a você uma declaração simplificada do assunto da seguinte forma: Um processo malicioso pode enviar mensagens de Chamada de Procedimento Local (LPC) para o processo splwow64.exe do Windows, por meio do qual um invasor pode gravar um valor arbitrário em um endereço arbitrário no espaço de memória do splwow64. Isso significa essencialmente que o invasor controla esse endereço de destino e qualquer conteúdo copiado para ele.

A falha em questão não é exatamente nova. Na verdade, um pesquisador de segurança da Kaspersky relatou isso no início deste ano e a Microsoft o corrigiu em junho. No entanto, este patch agora foi determinado como incompleto por Maddie Stone do Google Project Zero, que diz que a correção da Microsoft apenas altera os ponteiros para um deslocamento, o que significa que um invasor ainda pode explorá-lo usando o valor de deslocamento.

Leia também:

CONTINUA DEPOIS DA PUBLICIDADE

O dia zero foi relatado em particular à Microsoft pelo Google Project Zero em 24 de setembro, com o prazo padrão de 90 dias definido para expirar em 24 de dezembro. A Microsoft planejou inicialmente lançar uma correção em novembro, mas o prazo de lançamento então caiu para dezembro . Depois disso, disse ao Google que havia identificado novos problemas em seus testes e que agora lançará um patch em janeiro de 2021.

Em 8 de dezembro, as duas partes se reuniram para discutir o progresso e as próximas etapas, onde foi determinado que o período de carência de 14 dias não pode ser oferecido à Microsoft, uma vez que a empresa planeja lançar o patch no Patch Tuesday em 12 de janeiro de 2021, seis dias durante o prazo de carência. Stone declarou que, embora ela não ache que uma correção incompleta mereça um prazo de 90 dias, isso ainda tem sido seguido como o padrão, uma vez que as políticas atuais do Google não cobrem esse caso de uso. A equipe do Project Zero planeja revisar suas políticas novamente no próximo ano, mas divulgou publicamente a vulnerabilidade com um código de prova de conceito. O relatório técnico não está claro quais versões do Windows isso afeta, mas o relatório da Kaspersky de alguns meses atrás indica que os invasores o têm usado para atingir novas compilações do Windows 10.

Se você gostou do artigo, nos acompanhe no Google Notícias, Facebook, Twitter e Telegram para ter acesso imediato a tudo.
Avatar de Redação
Os artigos assinados por nossa Redação, são artigos colaborativos entre redatores, colaboradores e/por nossa inteligência artificial (IA).