Windows 10, como cualquier software del mundo, tiene problemas, fallos de seguridad y otro tipo de errores que se descubren con el paso del tiempo. Hasta ahí nada raro, basta con actualizar Windows 10 a la última versión que suele contener todos los parches que solucionan estos problemas de rendimiento o seguridad. Lo que no es de recibo es que nos avisen de forma privada de un problema de seguridad, que tardemos una eternidad en solucionarlo y que encima lo hagamos mal. Pues esta chapuza es de la que Google acusa a Microsoft a costa de un problema con la cola de impresión de Windows 10.
Google Project Zero es una división de expertos en seguridad del gigante de Internet que fue lanzada en julio de 2014 y que se dedica a localizar ataques de día cero en diferentes softwares. A grandes rasgos, estos fallos son reportados de forma privada al fabricante y se hacen públicos una vez que ha sido liberado el parche. Sin embargo, si pasan 90 días sin que se lance un parche, se hacen públicos también para “presionar” al fabricante de lanzar un parche.
Microsoft no arregló un problema en 6 meses
Todo esto nos lleva al 24 de septiembre de este año cuando Google Project Zero publicó todos los detalles sobre una vulnerabilidad de elevación de privilegios que aprovechaba un fallo en la API de la cola de impresión splwow64.exe. Microsoft tenía constancia del error desde diciembre de 2019, pero pasaron 6 meses sin hacer nada. Finalmente, se publicó la existencia del fallo de seguridad.
Si se aprovecha exitosamente la vulnerabilidad, un atacante puede manipular el proceso splwow64.exe para ejecutar código arbitrario en el sistema, pudiendo llegar a instalar programas maliciosos capaces de ver, cambiar, borrar datos o crear nuevas cuentas de usuario. Eso sí, es necesario que el atacante esté logueado en el sistema para su éxito.
Finalmente, Microsoft lanzó un parche para solucionar el problema, pero nada más lejos de la realidad. Desde Google nos explican que “la vulnerabilidad sigue existente, sólo ha cambiado el método para aprovecharla”. De hecho, confirman que se limitaron a cambiar “los punteros por offsets”. Esto sigue permitiendo explotar el fallo.
Ahora, esa vulnerabilidad se ha catalogado con el código CVE-2020-17008 y se espera que tengamos un parche el de 12 de enero de 2021. El problema es que Google Project Zero incluso ha mostrado una prueba de concepto de cómo aprovecharla, así que esperemos que no sea demasiado y tarde; y, sobre todo, que no sea una nueva chapuza.