Advertisement
Resumo: Quatro dias depois de a equipe do Google Project Zero divulgado um bug de segurança não corrigida no Windows, e chamou a repreensão de Redmond, outro bug ultrapassou prazo do Google e foi tornada pública.
Google descobriu um bug na função de memória criptografar CryptProtectMemory encontrado dentro de Windows 7 e 8,1, e fez o seu público divulgação após o prazo final de Project Zero de 90 dias se passaram.
O bug foi encontrado por James Forshaw, que também descobriu uma falha de elevação de privilégio no Windows 8.1, a divulgação de que atraiu a ira de Redmond no início desta semana.
Forshaw descreveu sua nova edição como uma verificação de desvio de representação que poderia ser um problema se um serviço é vulnerável a um ataque chamado tubo de plantio ou está armazenando dados criptografados em uma seção de memória compartilhada legível mundo.
"Ao usar a opção sessão de logon (flag CRYPTPROTECTMEMORY_SAME_LOGON), a chave de criptografia é gerada com base no identificador de sessão de logon, esta é para compartilhar memória entre processos em execução dentro do mesmo logon. Como este também pode ser usado para enviar dados de um processo para outro, ele suporta extrair o ID da sessão de logon do símbolo de representação ", disse Forshaw.
"A questão é a implementação em CNG.sys não verifica o nível de representação do token ao capturar o ID da sessão de logon (usando SeQueryAuthenticationIdToken) para um usuário normal pode personificar a nível Identificação e descriptografar ou criptografar os dados para que a sessão de logon.
"Esse comportamento é claro pode ser o projeto, no entanto, não ter sido parte no projeto, é difícil dizer."
O bug foi descoberto em 17 de outubro, com a Microsoft ser capaz de reproduzir o problema o mais tardar em 29 de outubro No entanto, problemas de compatibilidade significava que Redmond não conseguiu cumprir o prazo do Google, eo bug foi divulgado.
"Microsoft nos informou que a correção foi planejada para os patches de janeiro, mas tem que ser puxado devido a problemas de compatibilidade. Portanto, a correção é agora esperado nas manchas fevereiro", disse uma atualização de Forshaw.
Esta é a segunda vez em uma semana que o Google fez uma emissão pública de segurança do Windows, apesar Microsoft trabalhando para corrigir a falha, e pedindo Google para atrasar a divulgação.
"Pedimos Google para trabalhar conosco para proteger os clientes através da retenção detalhes [sobreCVE-2015-0004 ] até terça-feira, 13 de janeiro, quando estaremos lançando uma correção ", escreveu Chris Betz, diretor sênior da Microsoft Security Response Center, em um post de blog .
"Embora seguinte através mantém a linha do tempo anunciado pela Google para a divulgação, a decisão parece menos princípios e mais como uma 'pegadinha', com os clientes os únicos que podem sofrer como resultado. Direito do que para o Google nem sempre é certo para os clientes. Instamos Google para fazer protecção dos clientes o nosso principal objetivo coletivo ".
Betz disse vulnerabilidades que são divulgadas de forma privada, coordenada e fixos são quase nunca explorado antes de um patch está disponível, e uma "quantidade muito pequena" são exploradas uma vez uma correção está disponível publicamente.
"Por outro lado, o histórico de vulnerabilidades publicamente divulgadas antes correções estão disponíveis para produtos afetados é muito pior, com mais freqüência os cibercriminosos orquestrar ataques contra aqueles que não têm ou não podem se proteger", disse Betz.
Um porta-voz da Microsoft emitiu esta declaração: "Nós não temos conhecimento de qualquer ciberataques usando o desvio CryptProtectMemory Os clientes devem ter em mente que explorar com êxito essa, um suposto invasor precisaria usar outra vulnerabilidade primeiro Continuamos a acreditar que a segurança.. pesquisadores devem se envolver com empresas de software para divulgar privada vulnerabilidades e trabalhar juntos para proteger ainda mais os clientes. "
No momento da escrita, o bug tinha sido público há menos de seis horas.
