Dos Zero-day nuevos en productos Microsoft

El investigador de seguridad »SandboxEscaper» publicó hoy las demos de código de explotación para dos zero-day de productos Microsoft. Esto, luego de que hace unos días lanzará una vulnerabilidad similar en pleno funcionamiento para Windows 10, la cual permite escalar privilegios de manera local.

Primer Zero-day: Windows error reporting

El primero de los dos zeroday es una vulnerabilidad en el servicio de Informe de Errores de Windows que SandboxEscaper dijo que puede ser explotada a través de una operación de DACL (lista de control de acceso discrecional).

El investigador llamó a este error «AngryPolarBearBug2», después de un día cero similar que descubrió en el mismo servicio de Informe de errores de Windows en diciembre pasado y lo llamó «AngryPolarBearBug».

La buena noticia es que este día cero no es tan fácil de explotar como el último. «El error puede tardar hasta 15 minutos en activarse», dijo SandboxEscaper. Una vez explotado, el zero-day debería otorgar a un atacante acceso para editar archivos que normalmente no podía. En otras palabras, es un problema de escalamiento de privilegios locales. El investigador afirmó que »no es un problema tan importante».

Aunque hoy (23 de mayo) Microsoft salió a defenderse y afirmó que el código de demostración publicado ayer es para un error de seguridad que se había solucionado una semana antes con el lanzamiento del martes de parche de mayo de 2019, como CVE-2019-0863.

CVE-2019-0863 era un día cero en el momento en que se parchó, lo que significa que estaba siendo explotado activamente. Se acreditó a SandboxEscaper por informar de este problema a Microsoft con el nombre de PolarBear.

Segundo Zero-Day: Internet Explorer 11

El segundo Zero-Day publicado afecta a Internet Explorer 11. Además del código fuente del exploit y un breve video de demostración, solo hay un resumen de tres líneas disponible para este día cero.

Según SandboxEscaper, esta vulnerabilidad debería permitir a los atacantes inyectar código malicioso en Internet Explorer. Según un investigador de seguridad que revisó el exploit, este día cero no se puede explotar de forma remota, sino que solo se puede utilizar para neutralizar las protecciones de seguridad en IE para los ataques subsiguientes, y debe considerarse un problema de bajo impacto.

Estos dos marcan el sexto y séptimo día cero en los productos de Microsoft que este investigador de seguridad ha publicado en los últimos diez meses, los primeros cuatro se lanzaron el año pasado y tres en los últimos dos días.

Sorry Microsoft.