Un investigador de seguridad ha revelado públicamente una vulnerabilidad de Zero day (día cero) sin parchear en todas las versiones compatibles del sistema operativo Windows (incluidas las ediciones para servidores) después de que la compañía Microsoft no haya podido parchear un error revelado de forma responsable en el plazo de 120 días.

La vulnerabilidad de día cero fue descubierta por Lucas Leong, del equipo de Trend Micro Security Research, y reside en el motor de base de datos Microsoft Jet Database Engine, que podría permitir a un atacante ejecutar código malicioso de forma remota en cualquier equipo Windows vulnerable.

El Microsoft JET Database Engine, o simplemente JET (Joint Engine Technology), es un motor de base de datos integrado en varios productos de Microsoft, incluyendo Microsoft Access y Visual Basic.

La vulnerabilidad según un aviso publicado por Zero Day Initiative (ZDI), se debe a un problema con la gestión de índices en el motor de la base de datos Jet que, si se explota con éxito por un atacante, puede provocar una escritura de memoria fuera de límites, lo que lleva a la ejecución remota de código.

Para explotar esta vulnerabilidad y ejecutar de forma remota código malicioso en un equipo Windows vulnerable específico, un atacante debe convencer a un usuario objetivo de que abra un archivo de base de datos JET especialmente diseñado.

“Los datos elaborados en un archivo de base de datos pueden desencadenar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual”, escribió en su blog la Trend Micro’s Zero Day Initiative.

 

“Varias aplicaciones utilizan este formato de base de datos. Un atacante que use esto sería capaz de ejecutar código al nivel del proceso actual”.

La vulnerabilidad según los investigadores de ZDI, existe en todas las versiones compatibles de Windows, incluyendo Windows 10, Windows 8.1, Windows 7 y Windows Server Edition 2008 a 2016.

ZDI reportó la vulnerabilidad a Microsoft el 8 de Mayo, y el gigante tecnológico confirmó el error el 14 de Mayo, pero no pudo parchear la vulnerabilidad y lanzar una actualización dentro de un plazo de 120 días (4 meses), haciendo que ZDI la hiciera pública con los detalles de la vulnerabilidad.

El código de explotación de prueba de concepto para la vulnerabilidad también ha sido publicado por Trend Micro en su página GitHub.

Microsoft está trabajando en un parche para la vulnerabilidad, y como no estaba incluido en el pasado martes de parches de Septiembre del 2018, puede esperarse la corrección de la misma en el lanzamiento del parches de Microsoft del mes de Octubre.

Trend Micro recomienda a todos los usuarios afectados que “restrinjan la interacción con la aplicación a archivos de confianza”, como medida de mitigación hasta que se libere un parche por parte de Microsoft.

Fuente: THN

Anuncios