Mais uma vez, e pela segunda vez numa única semana, e depois dos 90 dias passados e definidos para resolução de problemas de segurança, o Google Project Zero revela outra vulnerabilidade crítica e não corrigida no Windows 10

Depois da divulgação de uma vulnerabilidade bypass do AMSI no Windows 10 e que a Microsoft não corrigiu na deadline imposta, o Google divulgou esta terça feira outra vulnerabilidade no Windows 10. A Microsoft diz ter corrigido esta vulnerabilidade, mas não resolveu o problema, diz James Forshaw do Google Project Zero.

Em novembro de 2017, Forshaw informou a microsoft de um par de erros que afetavam a mesma função do Windows 10. Os erros foram identificados pelo Google como issue 1427  e 1428, e incluem uma proof-of-concept para demonstrar a falha.

A nova falha  pode permitir que um atacajte tenha acesso total a um arquivo, mas geralmente requer acesso local ao PC.

A Microsoft atribuiu ao issue o ID CVE-2018-0826, e comunicou que ele foi corrigido este mês. Ele foi classificado como “critical”  e com um alto índice de exploração.

“An elevation of privilege vulnerability exists when Storage Services improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run processes in an elevated context,” escreveu a Microsoft.

“To exploit the vulnerability, an attacker would first have to log on to the system, and then run a specially crafted application to take control over the affected system.”

 

No entanto, e de acordo com Forshaw, o patch da Microsoft só corrigiu o issue 1427, apesar de ter apresentado dois relatórios para garantir que o issue 1428 também havia sido remendado.

“Note this is a second bug in the same function. I’m submitting it separately just to ensure that the resulting fix doesn’t miss this edge case as well,” Forshaw wrote in November.

 

Durante esta semana, Forshaw atualizou o seu comunidado:

 “After reviewing the patch for this issue [Microsoft] have not fixed it even though the report was quite specific about not forgetting about this edge case. Therefore as it’s not actually fixed, the status has been reverted to New.”

A Microsoft já deixou saber que existiu, de facto, um desvio na mitigação do problema, e que ainda não tem uma data para corrigir a vulnerabilidade.