Compartir en Facebook
Compartir en Twitter

Hace escasamente una semana, Google dio a conocer información sobre una vulnerabilidad detectada en la última versión del conocido sistema operativo de Microsoft. Ni más ni menos, dicho fallo podría permitir que las aplicaciones pudieran obtener permisos de administrador eludiendo las características de seguridad integradas del sistema.

Los descubridores fueron el grupo de seguridad Project Zero de Google, una iniciativa creada el verano pasado cuyo cometido es encontrar puntos de ataque, no sólo en los productos y servicios de Google, sino también de otros proveedores. Este grupo descubrió esta vulnerabilidad hace tres meses, pero, por la política del grupo, sólo se alertó de ello a Microsoft,

Sin embargo, y como ya hemos mencionado, hace una semana que se dio a conocer públicamente. La razón es que pasaron 90 días y no se lanzó ningún parche por parte de Microsoft. El detalle publicado por Google en su foro de investigación es el siguiente:

En Windows 8.1, la llamada al sistema NtApphelpCacheControl (el código se encuentra actualmente en ahcache.sys) permite a la aplicación almacenar en caché los datos de compatibilidad para su rápida reutilización en la creación de nuevos procesos. Un usuario normal puede realizar una consulta a la caché pero no añadir nuevas entradas ya que la operación se limita a los administradores. Esto se comprueba en la función AhcVerifyAdminContext

En respuesta a la publicación de Google, Microsoft declaró lo siguiente:

Estamos trabajando para liberar una actualización de seguridad que haga frente a una elevación ilícita de privilegios. Es importante tener en cuenta que para que un aspirante a atacante pudiera explotar este agujero potencialmente primero necesitaría tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local en una máquina específica. Animamos a los clientes a preservar su antivirus actualizado, instalar todas las actualizaciones de seguridad disponibles y activar el firewall de sus ordenadores.

Si bien la divulgación de Google significa que el fallo podría ser utilizado por los atacantes, el nivel real de amenaza es relativamente bajo porque el sistema necesitaría ser infectado previamente por algún malware.

  • Hector Carpintero

    Estos de Google hablando de vulnerabilidad cuando sus sistemas son la cagada mas grande xD jajaja

    • https://www.facebook.com/A.S.T.I.Virtual David Salazar

      ejejej mucha razon….^^

  • warex3d

    Y porque google no espero hasta que Microsoft solucionara el problema? se la quieren dar de heroes? O simplemente lo hicieron para trolear?

    • Salvador

      Es algo bueno que empresas como Google (aunque se que aquí todos la tiramos de ser un diablo :P) se den cuenta de este tipo de cosas antes que personas con malas intenciones aprovechen dicha vulnerabilidad. De ahí en más pues como dice Adelaiglesia, pues es una vulnerabilidad ridícula, pero estaría bien que Microsoft la arreglara nomás para cerrarle la boca a los de Google :3

      • Maax2

        Yo iría un poco mas allá supongo. Mas que por cerrarle la boca a Google (por favor, somos unos críos o que?) por tener un poco de amor propio hacia los productos que vendes y desarrollas y por hacer un trabajo bien hecho dando la imagen de empresa eficiente y responsable que es lo que importa.

        El resto es secundario, callarle la boca no serviría de nada, ni para dejarla mal, al contrario. Google seguirá buscando fallos y dejando en evidencia tecnologías que para eso nació el programa este, también descubrieron el fallo de SSLv3 creo y Apple tubo dejar de usarlo ya que dejo la tecnologia en evidencia y menos mal.

  • http://www.microsoftinsider.es Adelaiglesia

    Jojo, es una vulnerabilidad tan ridícula…

  • http://www.predicneitor.com/ PatricioRobalino (Pato)

    Google criticando de fallos de seguridad?.. Estamos todos locos? Jajaja

  • Tilux

    ¿Es la misma que salió en verano y que salió MS para quitar hierro al asunto?

    Edito: Si, es el mismo, he leído muy por encima la noticia.

    Están lo de joojle por tocar la moral, de todas formas creo que aunque sea mínima debería solucionarse con la máxima rapidez posible (Y no pasar del tema).

  • https://www.facebook.com/AvanMK8 Avan Torres

    Muy bien, ahora que digan los fallos que han encontrado en Google jajajajajajajaja xD

  • lBraai

    Imagínense si Microsoft se tomara el mismo trabajo de buscar vulnerabilidades en sus sistemas (los de Google): reportes todos los días (?)

    • Terror

      No. El sistema op Es un sistema nuevo, no esta extendido por lo que la importancia para los hackers es nula, la hay esta claro como todos los sistemas pero no es una cosa qe les llame la atención. A parte Google tiene un buen grupo de seguridad.

      • Rafael

        ¿No está extendido?

        Si es que su cuota de mercado es mayor que la de toda la comunidad Linux, y parece que lo mismo con MAC.

        Además de todo, Windows 8 presenta un Kernel (si no esd que igual) parecido a windows 7, sería injusto el no haber actualizado el kernel en Windows 7, pero ese no es el punto.

        Generalmente las compañías propietarias no ecuentran errores en sus productos, ese es trabajo de los piratas blancos.

        • Terror

          Rafa, Chrome OS no puede decirse que está extendido como Windows, como Android, como OS X. Que se están vendiendo Chromebook en las escuelas de EEUU porque son más baratos y para lo que utilizan los niños suficiente, sí es verdad. No se si poco a poco crecerá esa cuota si no se planta en medio la comunidad Linux para ofrecer lo mismo pero gratis (una pequeña broma) o equipos con Windows muy baratos.

          Pero a ver, cada uno es libre de gustarle lo que quiera. Uno de mi clase de treinta y tantos tacos es el súbdito del líder de Linux, no digo más. Que se critique a Microsoft por un sistema como el que hizo no lo entiendo. Es una empresa que hace años supo hacer NEGOCIO con su sistema operativo y ya está. Lo que si que se le puede criticar son los negocios de todas estas multinacionales haciendo sus productos en CHINA donde los derechos de los trabajadores no existen, ahí si.

          • Rafael

            Tu mismo lo dices, hace años supieron hacer NEGOCIO (así lo escribiste)

            Pero las cosas cambian en el mundo de la ciencia y la tecnología, ya que la informática y el internet han sido de los mayores inventos en la historia de la humanidad.

            Si muchos siguen pensando que ese negocio jamás cambiará (como el reinado de Windows para toda la eternidad… escalofriante) entonces dentro de unos años tal vez se lleven una sorpresa.

            Es gracioso y muy pretencioso el pensar que el mayor negocio de el nuevo siglo se quede como se queda… y que nadie haga algo. Pero las cifras hoy en día siguen sanas para unos.

            Bueno, eso es todo… tengo gripe así que me retiro por ahora.

          • Terror

            A ver, si es que en parte tienes razón o mayoritariamente.
            Y más aún en este mundo capitalista, porque lo que vivimos es capitalismo puro, si, esto puede cambiar, está claro que de aqui a muchísimos años las cosas pueden cambiar, quien iba a pensar que Kodak o Nokia o…yo que se les iba a pasar eso? Si, tuvieron su culpa de no modernizarse, de quedarse ahí y pensar que con lo que tenían iban a salir adelante.
            Posiblemente, de repente, la gente y empresas se choquen todos contra la pared y diga, joder, pero si Linux es gratis (ubuntu) y hace casi lo mismo que Windows, lo voy a instalar y Microsoft caiga poco a poco o Apple.

            Pero bueno, a mi siempre he dicho que no me gusta ningún fanatismo por eso muchas veces que paso por aquí critico a Microsoft porque no me gusta como han hecho muchas cosas, tengo: Windows 8.1 / 7, 3 Nokia Lumia y me gustaría si tuviera dinero comprarme el 930 y aún así soy el que más critico a Microsoft.

          • Rafael

            Esta no es una guerra de marcas, ni tampoco una guerra de régimenes, esta es una guerra de intelectos.

            Y me alegra decirte y saber que el conocimiento y el intelecto no tiene régimen, están en todas partes.
            Lo peor que podría pasar en el mundo humano sería que exista un monopolio de intelectos, en donde sólo una nación lo tenga todo, pero eso no va a suceder mientras personas como yo vivan… no puedo decir lo mismo de tu parte, pero pienso que piensas de una manera similar.

            Como lo había mencionado anteriormente, se trata de uno de los mayores, o el mayor invento de la historia, todo esto no puede pasar a unas solas manos, ni si quiera a linux.

            Esto es de la civilización, y no impirta que régimen exista, la informática no morirá mientras muchos seamos libres.

            Y otro punto, yo utilizo Outlook y Onedrive en vez de Gmail y Google drive.

            Busco en bing en vez de buscar en google.
            Y regalo celulares (lo hago) con Windows Phone en vez de Android, además de recomendarlo.

            No es como si fuera parcial, pero muchos dirían que me encanta microsoft…

  • http://www.facebook.com/rubengomezradioboy.officialfanpage Paquito19962

    ¿Oyes eso? Es Google tiritando.

    • carlos

      Dales una camiseta para que no pasen frío ;)

  • motorheavy

    Está interesante el tema, pero esto es un blog de Microsoft, no me espero que alaben a Google por avisar, a mi me parece bien que lo hagan.

    • Santiago

      Que difundan la vulnerabilidad y den toda esta información a hackers?

      • GibFl

        Que se dediquen a buscar fallos nos parece bien (a mi también me lo parece). Microsoft ha tenido 3 meses, y no me creo que no tenga los recursos para cerrar el fallo, esto es porque han pasado completamente del aviso de Google.

        Que lo hayan publicado servirá como medida de presión, este mundo funciona así chico, Bluebox también publico un fallo en Android, antes de que Google sacará la actualización oficial y esta estaba advertida desde hacia meses porque los LGs, Sonys, Samsungs, entre otros eran inmunes al fallo. Te pondré otros caso si quieres, no recuerdo concretamente cual fue, pero hace años uno de los bancos mas importantes de UK fue hackeado de arriba a bajo, el hacker se colo solo para pasarles al banco los fallos que tenían en sus sistemas y los publico solo para que no pasarán olímpicamente del ataque y para que se dieran prisa a corregirlos y te hablo de un banco eh que no es broma.

      • motorheavy

        Ay por favor, lo dices como si Windows fuera el SO mas seguro del mundo, ni creo que hubiera hecho falta que se lo informe Google para que todos se enteren y lo hackeen.

  • Victor Caliva

    Que la aplicaciones no deseadas tengan acceso de administrador no es nuevo descarguen el km player y verán como trabaja y quien las puede quitar

    • Lacruz7

      Yo tengo ese reproductor. Me gusta por los controles que proporciona en el teclado. XD

      • Victor Caliva

        Yo tmb lobtengo pero en la pagina oficial en el instalador labultima versión en la parte de configuración rápida te trae el maldito problema ese lo saque formateando x suerte era nueva la maquina y no tenia nada

        • Lacruz7

          Yo me di cuenta de eso y jamas volví a instalar la ultima versión. Tenia una versión antigua y esa instalo y solo me pide actualizar, cosa que nunca hare. No es que lo tenga restringido con el antivirus, solamente que cuando kmp quiere hacer de la suyas automáticamente salta el antivirus XD.

          • Victor Caliva

            Jaja lastima tan buen reproductor nos quiera engañar asi

      • Victor Caliva

        Solo quería el kmplayer el mejor reproductor ya lo conseguí sin ese problema

  • Ramirez Manuel

    Ridiculo donde?

    • http://www.softyjuegos.blogspot.com.es Xbit

      Si fuese una vulnerabilidad remota entonces si me preocuparía, pero requerir acceder a la maquina fisica y si encima se trabaja como usuario limitado… xD

      • Ramirez Manuel

        si AJAJAJAAJAJAJAJ xDDDDDDD