Project Zero, el equipo de investigación de seguridad electrónica de Google, le dio un ultimátum a Microsoft: hay una peligrosa falla de seguridad en Windows 10 y debe corregirse de inmediato, porque ya hay piratas informáticos que lo están utilizando para atacar PC con este sistema operativo. Se trata de una vulnerabilidad de "día cero", es decir, inherente al código y no identificada durante el desarrollo.
Normalmente quienes descubren estas fallas lo comunican a quienes desarrollaron el software, otorgándoles 90 días Es hora de publicar un parche y cerrarlo antes de revelar los detalles. En este caso, sin embargo, el tiempo permitido fue mucho menor, igual a solo siete días, porque el error de seguridad es ya ha sido descubierto por piratas informáticos, que ya lo están usando. Al explotar esta falla, que además de Windows 10 también afecta a Windows 7, los delincuentes web pueden ejecutar de forma remota el código peligroso en PC con estos dos sistemas operativos de Microsoft. Al error se le asignó el código de CVE-2020-11787 y los investigadores de Google descubrieron esto mientras buscaban la solución a otro problema de seguridad, esta vez de Chrome.
CVE-2020-11787: por qué es peligroso
Los investigadores de Project Zero han revelado los detalles de esta vulnerabilidad, conscientes de que los piratas informáticos ya la conocen. Aprovechando el error CVE-2020-11787 puedes conseguir el privilegios del sistema en Windows y, en consecuencia, haga casi lo que quiera en el equipo atacado.
Los ataques ya realizados explotaron CVE-2020-11787 junto con otra falla, esta vez en Chrome navegador, que se corrigió en la última actualización de la aplicación que trae la versión de Chrome o 86.0.4240.111. Sin embargo, queda por resolver el primer error, el de Windows.
Según Google, esta vulnerabilidad puede llevar a los piratas informáticos a eludir los sistemas. criptografía Windows, pero Microsoft no es de la misma opinión y no parece tener prisa por publicar el parche necesario para cerrar la falla.
Proyecto cero contra Microsoft
El hecho de que los investigadores de Projet Zero de Google hayan hecho pública esta vulnerabilidad es claramente un camino a seguir. presión sobre Microsoft, para que pueda darse prisa y corregirlo. Pero Microsoft dice que no solo no hay señales de que los piratas informáticos hayan explotado la falla a gran escala, sino también que no es verdad que explotarlo puede socavar el sistema de cifrado de Widows 7 y Windows 10.
El jefe de Project Zero, Ben Hawker, respondió a Microsoft en Twitter diciendo claramente que la publicación de los detalles sobre esta vulnerabilidad se hizo para "incentivar" a la empresa a corregir el grave problema. Hawkes, en otro tuit, dice que espera que el parche llegue el 10 de noviembre, que es el segundo martes del mes que, según la tradición de Microsoft, es el "Martes de parches", el día en el que Microsoft lanza actualizaciones de seguridad para sus productos y servicios todos los meses. Microsoft de hecho, lanzará el parche para el error CVE-2020-11787 el 10 de noviembre.
Microsoft, mientras tanto, está lidiando con una otro gran problema de seguridad: el derivado de la vulnerabilidad ZeroLogon, para lo cual ya ha publicado el parche que, sin embargo, muchos aún no han descargado e instalado.
Google descubre otro error importante de seguridad de Windows 10
