Um pesquisador de segurança divulgou publicamente uma vulnerabilidade de 0-day não corrigida em todas as versões suportadas do sistema operacional Microsoft Windows (incluindo edições de servidor) depois que a empresa não conseguiu corrigir um bug divulgado com responsabilidade dentro do prazo de 120 dias.
Descoberto por Lucas Leong, da equipe do Trend Micro Security Research, a vulnerabilidade de dia zero reside no Mecanismo de banco de dados do Microsoft Jet, que permite que um invasor execute remotamente códigos mal-intencionados em qualquer computador Windows vulnerável.
O Microsoft JET Database Engine, ou simplesmente JET (Joint Engine Technology), é um mecanismo de banco de dados integrado em vários produtos da Microsoft, incluindo o Microsoft Access e o Visual Basic. De acordo com o um consultivo
lançado pela Zero Day Initiative (ZDI), a vulnerabilidade é devido a um problema com o gerenciamento de índices no mecanismo de banco de dados Jet que, se explorado com êxito, pode causar uma gravação de memória out-out-bounds, levando à execução remota de código.
Um invasor deve convencer um usuário direcionado a abrir um arquivo de banco de dados JET especialmente criado para explorar essa vulnerabilidade e executar remotamente códigos mal-intencionados em um computador Windows vulnerável.
"Dados criados em um arquivo de banco de dados podem desencadear uma gravação após o final de um buffer alocado. Um invasor pode aproveitar essa vulnerabilidade para executar código sob o contexto do processo atual", escreveu a Zero Day Initiative da Trend Micro em seu blog .De acordo com os pesquisadores da ZDI, a vulnerabilidade existe em todas as versões suportadas do Windows, incluindo o Windows 10, o Windows 8.1, o Windows 7 e o Windows Server Edition 2008 a 2016.
"Vários aplicativos usam esse formato de banco de dados. Um invasor usando isso seria capaz de executar código no nível do processo atual."
A ZDI informou a vulnerabilidade à Microsoft em 8 de maio, e a gigante da tecnologia confirmou o bug em 14 de maio, mas não conseguiu corrigir a vulnerabilidade e liberar uma atualização dentro de um prazo de 120 dias (4 meses), tornando a ZDI pública com os detalhes da vulnerabilidade .
O código de exploração de prova de conceito para a vulnerabilidade também foi publicado pela Trend Micro em sua página do GitHub.
A Microsoft está trabalhando em um patch para a vulnerabilidade, e desde que não foi incluído no Patch Tuesday de setembro, você pode esperar a correção no lançamento de patch da Microsoft em outubro.
A Trend Micro recomenda que todos os usuários afetados "restrinjam a interação com o aplicativo com arquivos confiáveis", como uma mitigação até que a Microsoft apareça com um patch.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário