Hacen pública una vulnerabilidad crítica en Windows, aún sin parche, 120 días después de enviarla a Microsoft

Hacen pública una vulnerabilidad crítica en Windows, aún sin parche, 120 días después de enviarla a Microsoft

Rubén Velasco

Hoy en día hay varias compañías que trabajan para reforzar todo lo posible nuestra seguridad, grupos de hackers éticos como ZDI y Google Project Zero que a diario analizan los principales sistemas operativos y las aplicaciones de uso diario en busca de vulnerabilidades que puedan suponer un riesgo para la seguridad. Normalmente estos fallos se suelen comunicar a las compañías de forma privada antes de darlos a conocer para darles tiempo a lanzar su parche. Sin embargo, las compañías tienen un plazo concreto para corregir la vulnerabilidad y, cuando estas no prestan atención a las vulnerabilidades, finalmente se hacen públicas para forzarlas a corregir los fallos, como acaba de ocurrir con Microsoft.

Hace algunas horas se daba a conocer una nueva vulnerabilidad zero-day en el componente Microsoft JET Database Engine de Windows que puede permitir la ejecución de código remoto en los sistemas vulnerables, fallos de seguridad que ha puesto en peligro a los usuarios del sistema operativo de Microsoft.

Este fallo de seguridad fue detectado hace ya 4 meses por los investigadores de ZDI (zero-day Initiative) y fue reportada en privado a Microsoft para que la compañía pudiera solucionar el fallo lo antes posible, antes de poner en peligro a los usuarios. Sin embargo, aunque Microsoft ha confirmado el fallo de seguridad, el parche aún no ha llegado y, por lo tanto, tal como manda la política de ZDI, tras los 120 días de plazo finalmente han dado a conocer públicamente esta vulnerabilidad.

Imagen del usuario de twitter
Zero Day Initiative
@thezdi
(0day) ZDI-CAN-6135: A Remote Code Execution Vulnerability in the #Microsoft Windows Jet Database Engine https://t.co/xqr3JMQ8wY
01 de febrero, 2024 • 15:38

99

8

A grandes rasgos, esta vulnerabilidad es posible dado que Windows procesa mal los datos almacenados en las bases de datos JET. Por ello, un pirata informático puede mandar un archivo especialmente modificado para que, al ejecutarlo, se pueda ejecutar código, oculto en el archivo en cuestión, directamente en la memoria.

Cómo protegernos de este nuevo fallo de seguridad zero-day de Windows

Aunque Microsoft ha tenido 4 meses para solucionar el problema y lanzar el correspondiente parche de seguridad aún no lo ha hecho, por lo que, ahora que el fallo se ha hecho público, y además circula una prueba de concepto por la red, todos los usuarios de Windows somos vulnerables.

Se espera que la compañía corrija este fallo de seguridad con los parches que lanzará el próximo 9 de octubre, aunque por el momento no hay nada confirmado. La única manera de protegernos de este parche es estar atentos para evitar ejecutar el exploit en nuestro ordenador e instalar las actualizaciones de seguridad de Windows el próximo mes tan pronto como estén disponibles. Las técnicas para hacer que el usuario ejecute el exploit son las de siempre, normalmente engaños para hacerle pensar que se trata de un archivo fiable cuando, en realidad, no es así.

De momento, los investigadores de seguridad que descubrieron el fallo lo demostraron en Windows 7, aunque aseguran que, dada su naturaleza, seguramente también afecte a otras versiones posteriores del sistema operativo, incluso a Windows 10.

¿Qué opinas de este fallo de seguridad en Windows? ¿Crees que Microsoft debería tomarse más en serio estos problemas de seguridad?