La batalla de Microsoft con SandboxEscaper zero days se convierte en el sombrío Día de la Marmota

La batalla de Microsoft con SandboxEscaper zero days se convierte en el sombrío Día de la Marmota

2019-06-15 09:30:04

¿Por qué SandboxEscaper libera vulnerabilidades de una manera tan irresponsable?No importa: Microsoft debe parchear lo que tiene por delante, independientemente de la historia de fondo.

En agosto pasado, un investigador de seguridad que utilizó el seudónimoCaja de arenaEscapertuiteó noticias sobre un código de prueba de concepto dirigido a una vulnerabilidad de seguridad sin parchear en Windows 7 y 10.

Posteriormente identificado comoCVE-2018-8440, el problema era una debilidad en la función de llamada a procedimiento local avanzado (ALPC) del Programador de tareas de Windows y Microsoft lo solucionó poco más de dos semanas después en suActualización mensual de septiembre de 2018después de haber sido explotado durante varios días.

Unas semanas más tarde, SandboxEscaper regresó con una segunda prueba de concepto de día cero de Windows (parcheada en diciembre de 2018 comoCVE-2018-8584), seguido de un tercero a tiempo para la Navidad de 2018 (CVE-2019-0863, finalmente explotado pero no parcheado hasta mayo de 2019).

SandboxEscaper actualmente se atribuye el mérito de 21 revelaciones de vulnerabilidades que se remontan a 2015, lo que debe dificultar el mantenimiento del ritmo, sobre todo para SandboxEscaper.Como dice el investigador anónimo:

Dejo caer muchas de mis cosas y no puedo molestarme en hacer un seguimiento de todo.

Objetivo en movimiento

Dígaselo a Microsoft, que en las actualizaciones de Windows de este mes se encontró solucionando tres divulgaciones de día cero (CVE-2019-1069,CVE-2019-1053, yCVE-2019-0973) lanzado por SandboxEscaper solo en mayo de 2019.

Pero fueCVE-2019-0841, parcheado en abril de 2019, resultó ser el mayor desafío de Microsoft: lo que comenzó como "un error" se convirtió en una saga, cuando SandboxEscaper reveló sucesivas omisiones para parches de Microsoft.

Primero vino un agujero denominado CVE-2019-0841-BYPASS, que fue reparado esta semana comoCVE-2019-1064.

Luego vino unbypass del parchepara omitir el parche para la vulnerabilidad original.

Los parches para parches son raros;Los parches para parches para parches son aún más raros, por lo que cuando Microsot solucione este último agujero (posiblemente en la actualización del martes de parches de julio de 2019), seguramente esperará haber solucionado el problema.

¿Por qué SandboxEscaper dedica tanto esfuerzo a publicar información sobre vulnerabilidades de una forma claramente irresponsable?Sólo ella puede decirlo, pero sus declaraciones públicas supuestamente incluyen publicaciones de GitHub ahora eliminadas que expresan un deseo de vender fallas por 60.000 dólares y una admisión de haber proporcionado exploits a "personas que odian a Estados Unidos".

Excepto, por supuesto, que las vulnerabilidades no funcionan de manera ordenada y quirúrgica; por lo que SandboxEscaper sabe, sus exploits podrían terminar siendo utilizados para atacar a cualquiera, incluidos países hostiles a los EE. UU.

La divulgación irresponsable perjudica a todos.

Análisis de Naked Security de Windows de junioEl martes de parches se puede encontrar aquí.

Véase también la versión en otros idiomas: English | 简中 | 正體 | 日本語 | 한국인 | हिंदी | Español