– El equipo de Project Zero de Google reveló al público los detalles de la vulnerabilidad Zero Day que Windows no ha podido solucionar hasta ahora. Esta vulnerabilidad se rastrea como CVE-2020-0986, que reside en la API Print Spooler y podría explotarse utilizando código arbitrario.
El experto de Google publicó detalles de la vulnerabilidad, luego de que Microsoft no pudiera encontrar el problema dentro de los 90 días posteriores a su primer anuncio el 24 de septiembre.
Esta vulnerabilidad fue informada a Microsoft por un usuario anónimo que trabajaba con Zero Day Initiative (ZDI) de Trend Micro en diciembre de 2019.
“Esta vulnerabilidad es casi similar a la detectada anteriormente, a saber, CVE-2019-0880. Las propiedades son las mismas, lo que permite a los piratas llamar a ‘memcpy’ con parámetros arbitrarios en los permisos de splwow64. Esos parámetros arbitrarios se envían en un mensaje LPC a splwow64. En este caso, el mensaje es 0x6D que tiene una función para llamar a DocumentEvent. Después de que se llama a DocumentEvent desde GdiPrinterThunk, se produce una llamada a mempcpy, siempre que se escriba un comando específico en el mensaje LPC con el valor correcto”, se lee en los detalles del anuncio.
Splwow64.exe en sí mismo es el archivo principal del sistema de Windows que permite que las aplicaciones de 32 bits se conecten con el servicio de impresión de cola de impresión de 64 bits en las versiones x64 de Windows.
El 19 de mayo de 2010, ZDI también anunció que un grupo de piratas informáticos había explotado con éxito esta vulnerabilidad con un movimiento llamado “Operación PowerFall”.
En 2020, los expertos de Kaspersky descubrieron un ataque a una empresa de Corea del Sur. El ataque consistió en dos exploits de día cero, a saber, una ejecución remota de código para Internet Explorer y un exploit de derechos de acceso en Windows.
Los piratas informáticos pudieron explotar esto utilizando Zero Day para manipular la memoria splwow64.exe, para poder ejecutar código arbitrario en modo kernel. La vulnerabilidad permite a los piratas informáticos instalar programas maliciosos, ver, modificar o eliminar datos e incluso crear nuevas cuentas con todos los privilegios de administrador.
Microsoft mismo ha estado tratando de resolver este problema lanzando una actualización de seguridad en junio. Pero el equipo del Proyecto Cero de Google descubrió que la solución para el error de Día Cero no era realmente tan efectiva.
Ahora, el exploit Zero Day se ha incluido en un nuevo CVE, a saber, CVE-2020-17008, y es probable que Microsoft lo arregle en enero.
