Investigador revela un nuevo "Zero-Day" que afecta a todas las versiones de Windows


Un investigador de seguridad ha revelado públicamente una vulnerabilidad de día cero no parcheada en todas las versiones compatibles del sistema operativo Microsoft Windows (incluidas las ediciones de servidor) después de que la compañía no parcheó un error divulgado responsablemente dentro del plazo de 120 días.

Descubierta por Lucas Leong del equipo de Trend Micro Security Research, la vulnerabilidad de día cero reside en Microsoft Jet Database Engine que podría permitir a un atacante ejecutar de forma remota código malicioso en cualquier computadora vulnerable de Windows.


El Motor de base de datos JET de Microsoft o simplemente JET (Joint Engine Technology) es un motor de base de datos integrado en varios productos de Microsoft, incluidos Microsoft Access y Visual Basic.


Según el aviso publicado por Zero Day Initiative (ZDI), la vulnerabilidad se debe a un problema con la administración de índices en el motor de la base de datos Jet que, si se explota con éxito, puede causar una escritura de memoria de límites máximos, lo que lleva a ejecución remota de código.


Un atacante debe convencer a un usuario específico para que abra un archivo de base de datos JET especialmente diseñado a fin de aprovechar esta vulnerabilidad y ejecutar código malicioso de forma remota en una computadora Windows vulnerable.

    
"Los datos elaborados en un archivo de base de datos pueden desencadenar una escritura más allá del final del búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual", escribió Zero Day Initiative de Trend Micro en su blog.

    
"Varias aplicaciones usan este formato de base de datos. Un atacante que use esto podría ejecutar código en el nivel del proceso actual".


Según los investigadores de ZDI, la vulnerabilidad existe en todas las versiones compatibles de Windows, incluidos Windows 10, Windows 8.1, Windows 7 y Windows Server Edition 2008 a 2016.


ZDI informó sobre la vulnerabilidad a Microsoft el 8 de mayo, y el gigante tecnológico confirmó el error el 14 de mayo, pero no paró la vulnerabilidad y lanzó una actualización dentro de un plazo de 120 días (4 meses), haciendo que ZDI se haga pública con los detalles de vulnerabilidad .


El código de explotación de prueba de concepto para la vulnerabilidad también ha sido publicado por Trend Micro en su página GitHub.


Microsoft está trabajando en un parche para la vulnerabilidad, y dado que no se incluyó en el parche de septiembre el martes, puede esperar la solución en el lanzamiento de parches de octubre de Microsoft.


Trend Micro recomienda a todos los usuarios afectados que "restrinjan la interacción con la aplicación a archivos de confianza", como una medida de mitigación hasta que Microsoft presente un parche.