Google Project Zero está empezando a especializarse en desvelar fallos de seguridad en aplicaciones de Microsoft. Su labor pasa por intentar encontrar estos agujeros o vulnerabilidades tanto en sus propias aplicaciones y servicios como en los de la competencia. Sus miembros, una vez que los descubren, los notifican en privado a los responsables y les das 90 días para resolverlo. En caso de no hacerlo, el agujero de seguridad se airea de forma pública. En algunos casos se puede ampliar el plazo por la dificultad de solucionarlo.

Fallo de seguridad en Windows 10 S, el Windows seguro

Como sabemos, Windows 10 S es la apuesta de Microsoft por la seguridad. Aunque su éxito ha sido discreto y pasará a ser un modo S en próximas versiones, todavía se ofrece con algunos dispositivos. Este impide utilizar aplicaciones Win32 y sólo las podremos descargar desde la tienda Microsoft siendo estas del formato UWP.

bug

Pese a esto, Google Project Zero ha descubierto un fallo de seguridad entre tanta restricción y sandbox. En este caso, permite la ejecución de código arbitrario en cualquier sistema con UMCI activado como ocurre en Windows 10 S por defecto. Es importante destacar que sólo afecta a sistemas con Device Guard activado y que no puede ser aprovechado de forma remota.

Un atacante tendría que tener el código en el sistema para poder empezar a modificar entradas del registro. Esto le ha bajado el nivel de gravedad a la vulnerabilidad desde “muy grave” a “medio”, aunque no deja de ser curioso que ocurra en la versión de Windows “optimizada para seguridad y rendimiento superior”.

Microsoft resolverá la vulnerabilidad en Windows 10 S Redstone 4 o Spring Creators Update, aunque se ha desvelado antes de que esta actualización llegue al mercado. Ahora sabemos que Windows 10 Spring Creators Update será lanzada con un grave fallo, aunque todavía no se conoce la fecha de lanzamiento definitiva.

 

Fuente: neowin | adslzone