El hacker esquivó el proceso convencional que, a cambio de una recompensa, otorga entre 60 y 90 días a la empresa para solucionar el problema antes de hacerlo público.

image

Un usuario de Twitter bajo el seudónimo SandboxEscaper descubrió una vulnerabilidad en Windows 10 y optó por una forma de proceder poco convencional: en lugar de reportarla a Microsoft a cambio de una recompensa, la publicó en Twitter diciendo que "ya no le importaba la vida".

Normalmente, cuando los hackers identifican este tipo de fallas de seguridad, ofrecen a la empresa afectada un período de 60 o 90 días para buscar una solución antes de hacerla pública. En este caso, la decisión de SandboxEscaper expone a todos los usuarios de Microsoft, que debe parchear la vulnerabilidad lo antes posible en todos los sistemas operativos afectados, incluyendo Windows 7, 8.1 y 10.

Here is the alpc bug as 0day: https://t.co/m1T3wDSvPX I don’t fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.

— SandboxEscaper (@SandboxEscaper) August 27, 2018

Así comenzó el último ataque de día cero a la empresa: un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que aún no hayan sido arregladas.

Will Dormann, analista de vulnerabilidades en el CERT/CC, verificó la vulnerabilidad y confirmó que funciona pocas horas después de la publicación de SandboxEscaper.

image

"He confirmado que esto funciona bien en una una versión completamente actualizada de Windows 10 de 64 bits", tuiteó.

Microsoft afirmó que están al tanto de la vulnerabilidad y que están trabajando contra reloj para parchearla lo antes posible.

Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.