Hacker publica en Twitter una vulnerabilidad 0-day de Windows 10 sin avisar a Microsoft
Aparentemente una hacker descubre una vulnerabilidad en Windows 10 y la libera en redes sociales sin informar a Microsoft ni respetar ningún protocolo.
Hace algunos meses cuando se descubrieron una serie de vulnerabilidades exclusivas de los procesadores AMD Ryzen y se filtraron a los 15 días de informar a la compañía, ya se lio bastante parda porque existe una norma no escrita que establece tres meses para informar a la compañía de una vulnerabilidad para que dé tiempo a desarrollar un parche y evitar que los malos la exploten. La usuaria de Twitter SandboxEscaper la ha liado al publicar una vulnerabilidad 0-day de Windows 10 en Twitter sin informar antes a Microsoft.
Descubre una vulnerabilidad 0-day en Windows 10 y la publica en Twitter sin informar a Microsoft.
La historia es bastante perturbadora ya que el tuit de esta usuaria está acompañado de la frase ‘ya no me importa una mierda la vida’ y por eso ha decidido publicarlo en redes sociales en vez de informar antes a Microsoft. Dentro del tuit podemos encontrar un enlace a GitHub donde se muestra la prueba de esta vulnerabilidad la cual es un fallo de seguridad en el programador de tareas de Windows que permite escalar privilegios y que no tiene solución.
EL TUIT HA SIDO BORRADO, LO SENTIMOS.
Will Dormann un reputado analista de vulnerabilidad que trabaja en el CERT/CC ha verificado dicha vulnerabilidad y ha confirmado que está operativo en la versión a actualizada de Windows 10 de 64bits.
Dicha vulnerabilidad 0-day tiene una puntuación CVSS de entre 6.4 y 6.8, que indica que es una vulnerabilidad de severidad moderada. Microsoft reconoce la existencia de este problema y han informado que están trabajando de manera ardua para corregir el problema en los sistemas operativos afectados y que es posible que tengan solución para el martes, que es cuando lanzan los parches de seguridad.
El medio ZDNet también destaca que un usuario de Reddit con el nombre de SandboxEscaper habría estado viendo la posibilidad de vender esta vulnerabilidad mediante el mayor foro de la red.
No hablamos de un hacker de tipo White Hat y es que ha intentado hacer negocio por vender este fallo de seguridad. Las compañías suelen pagar bien a quienes encuentran los agujeros de seguridad y son capaces de documentarlo correctamente, no vale con decir que hay un fallo, hay que aportar pruebas del mismo.
I’ve confirmed that this works well in a fully-patched 64-bit Windows 10 system.
LPE right to SYSTEM! https://t.co/My1IevbWbz— Will Dormann (@wdormann) 27 de agosto de 2018
