Kaslov divulgou a vulnerabilidade através da Iniciativa Trend Micro Zero-Day (ZDI) em janeiro, e os especialistas da ZDI informaram a Microsoft da falha.
Após quatro meses, a Microsoft ainda não lançou qualquer patch de maneira a corrigir a vulnerabilidade. Nesse sentido a ZDI decidiu publicar uma parte da análise técnica da vulnerabilidade.
Geralmente, a ZDI espera 120 dias antes de divulgar publicamente uma vulnerabilidade.
“This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Microsoft Windows. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.” reads the advisory published by ZDI.
“The specific flaw exists within the handling of Error objects in JScript. By performing actions in script, an attacker can cause a pointer to be reused after it has been freed. An attacker can leverage this vulnerability to execute code under the context of the current process.”
A vulnerabilidade foi tracked com uma classificação de 6,8 de 10 na escala de gravidade do CVSSv2.
Para explorar a vulnerabilidade, o ciberatacante tem que enganar as vítimas e fazê-las aceder a uma página ilícita de forma a descarregarem para o seu computador um ficheiro JScript mal intencionado.
A boa notícia é que a vulnerabilidade não permite um comprometimento total do sistema, pois os ciberatacante só podem executar códigos mal-intencionados num ambiente sandbox.
Naturalmente, o ciberatacante pode executar esta vulnerabilidade através de um bypass da sandbox, e em seguida, executar seu próprio código no sistema de alvo.
De qualquer forma, a Microsoft está a trabalhar numa atualização de segurança, que provavelmente será lançada no patch tuesday, (a segunda terça-feira do mês de junho), mas ainda não é certo!
Abaixo fica a linha cronológica da vulnerabilidade:
01/23/18 – ZDI sent the vulnerability report to the vendor
01/23/18 – The vendor acknowledged and provided a case number
04/23/18 – The vendor replied that they were having difficulty reproducing the issue report without POC
04/24/18 – ZDI confirmed the POC was sent with the original and sent it again
05/01/18 – The vendor acknowledged receipt of the POC
05/08/18 – The vendor requested an extension
05/18/18 – ZDI replied “We have verified that we sent the POC with the original. The report will 0-day on May 29.”