Você está visualizando atualmente Um Número de Graves Falhas no Windows Ainda Não Entraram em Círculos Criminosos, Mas Isso Não Permanecerá Assim para Sempre — e o Tempo Está se Esgotando Antes da Divulgação dos Detalhes do Exploit pelo ZDI

Um Número de Graves Falhas no Windows Ainda Não Entraram em Círculos Criminosos, Mas Isso Não Permanecerá Assim para Sempre — e o Tempo Está se Esgotando Antes da Divulgação dos Detalhes do Exploit pelo ZDI

Sete vulnerabilidades de escalonamento de privilégios diferentes do Windows ainda não foram corrigidas pela Microsoft, dois meses após serem reveladas em Vancouver no Pwn2Own 2024.

O Patch Tuesday desta semana trouxe cinco dezenas de correções de segurança, incluindo correções para os bugs CVE-2024-30051 e CVE-2024-30040 ativamente explorados. No entanto, ao contrário da Apple, Google e outros, a Microsoft ainda não corrigiu uma série de bugs descobertos por especialistas em março.

Até o momento, a empresa corrigiu apenas um. O mesmo problema afetou o Google Chrome, então quando o Google fez uma correção, a Microsoft a portou para seu navegador Edge.

Não há indicação de que alguma das vulnerabilidades pendentes no Windows esteja sendo explorada por hackers maliciosos. No entanto, como cada uma foi totalmente explorada por pesquisadores, a Zero Day Initiative da Trend Micro, que organiza o Pwn2Own, considera que elas estão “em circulação”.

“Esses tipos de bugs são muito comumente usados por atores maliciosos”, diz Dustin Childs, chefe de conscientização sobre ameaças na ZDI. “Eles geralmente são combinados com um bug de execução de código remoto para tomar controle de um sistema, e representam uma ameaça real para os usuários em todos os lugares.”

Os sete bugs de escalonamento de privilégios em questão afetam vários componentes do Windows. Eles incluem dois bugs de uso após liberação, um bug de tempo de verificação para tempo de uso (TOCTOU), um estouro de buffer baseado em heap, um erro de troca de contexto de privilégio, uma validação incorreta de quantidade especificada de entrada e uma condição de corrida.

Alguns desses problemas são questões diretas de escalonamento no sistema operacional. Outros funcionam em combinação com bugs de virtualização em fugas de convidado para host.

Além disso, os detalhes ainda estão sendo mantidos em sigilo. Como regra, o Pwn2Own permite que os fornecedores tenham 90 dias após a competição para trabalhar em patches. O evento deste ano ocorreu nos dias 20 a 22 de março, o que significa que a Microsoft ainda tem pouco mais de um mês para resolver a situação.

A Microsoft informou ao Dark Reading que está trabalhando para corrigir as vulnerabilidades descobertas no Pwn2Own 2024 dentro do prazo de divulgação de 90 dias.

“Pessoalmente, estou começando a ficar preocupado porque a Microsoft está atualmente sozinha nisso”, diz Childs. “A VMware corrigiu. A Oracle corrigiu. A Mozilla corrigiu em poucos dias. Mas obviamente, eles estão lidando com algo diferente de um navegador – corrigir um sistema operacional usado por um bilhão de pessoas.

“Então, não estou apertando o botão de pânico, porque sei o que é preciso para corrigir um sistema operacional. Mas estou chegando ao ponto agora em que, especialmente porque a Microsoft tem feito tanto barulho sobre segurança estar em primeiro lugar [para ela], e vendo que o último mês foi o maior de todos os tempos em termos de correções da Microsoft, estou preocupado que eles tenham tantas outras coisas em andamento e esses problemas possam cair no esquecimento.”