– El equipo Project Zero de Google, que ha estado buscando a los involucrados en la implementación y la implementación de Zero Day Bug en dispositivos con Windows 10, detalles técnicos compartidos y código de explotación de prueba de concepto (PoC) para dispositivos de impacto de ejecución remota de código (RCE) de alto nivel componentes gráficos.
Los investigadores del equipo de Project Zero descubrieron la vulnerabilidad, que fue rastreada como CVE-2021-24093, en una representación de texto de alta calidad de una API de Windows llamada Microsoft DirectWrite. Informaron el error de Zero Day al Centro de respuestas de seguridad de Microsoft en noviembre del año pasado. Luego, Microsoft solo puede proporcionar soluciones para todas estas vulnerabilidades el 9 de febrero junto con el martes de parches.
Esta vulnerabilidad de seguridad afecta a varias versiones de Windows 10, así como a Windows Server, especialmente hasta la versión 20H2 y posteriores. Después de darle a Microsoft un plazo de 90 días para encontrar y resolver el problema, el equipo de Project Zero lanzó un código de explotación de prueba de concepto que podría usarse para volver a duplicar el error en los navegadores que se ejecutan en los sistemas Windows 10 1909 actualizados.
“Se adjunta la fuente TrueType de prueba de concepto junto con el archivo HTML que la incrusta y muestra los caracteres AE. Puede duplicar errores presentes en dispositivos Windows 10 1909 actualizados, en todas las webs populares. Las fuentes en sí se han convertido en un subconjunto para incluir solo el sistema defectuoso y los archivos asociados”, dijo el equipo de Project Zero.
Además, la API de DirectWrite se ha utilizado como controlador de fuentes predeterminado utilizado por navegadores web populares como Chrome, Firefox y Edge para representar las fuentes utilizadas por los sitios web.
Dado que el navegador web utiliza la API DirectWrite para renderizar, los piratas informáticos podrían explotar la vulnerabilidad para provocar la corrupción de la memoria, de modo que luego puedan ejecutar código arbitrario en el dispositivo de la víctima de forma remota.
Los piratas informáticos podrían explotar CVE-2021-24093 al engañar a las víctimas para que visiten el sitio comprometido por la fuente TrueType maliciosa y luego activar el almacenamiento en búfer basado en montón en la función API fsg_ExecuteGlyph.
Google mismo solucionó este problema primero en el popular texto FreeType utilizado por su navegador Chrome.
