Falha no Windows 8.1 permite elevação de privilégios. Microsoft ciente há 90 dias ainda não corrigiu o problema.

A Google tornou público os detalhes de uma vulnerabilidade de segurança no Windows 8.1

A Microsoft tinha sido avisada desde setembro e o bug pode permitir que um usuário logado execute código no Windows 8.1 com privilégios de administrador.

A falha está no manuseio da chamada de sistema NtApphelpCacheControl(): um programa deve primeiro obter um token de acesso a partir de um processo de nível de sistema, como o BITS, e, em seguida, chamar a função anteriromente mencionada para inserir uma entrada no cache de compatibilidade de aplicativos - uma operação de nível de administrador. Quando o token de acesso é examinado, o nível de representação do programa não está marcado, permitindo que o software em nível de usuário passe por um programa privilegiado e modifique o cache. A entrada de cache pode levar o Windows a rodar um executável com privilégios elevados.

"Este bug está sujeito a um prazo de divulgação 90 dias", a equipe de segurança do Google relatou quando ele avisaram a Microsoft sobre o erro de programação. "Se 90 dias transcorrer sem um patch disponível, o relatório de erro se tornará automaticamente visível para o público."

Esse prazo já passou, e os detalhes completos do bug foram revelados em 30 de dezembro de 2014 - incluindo o código de prova de conceito (PoC), que a Chocolate Factory disponibilizou tanto em código fonte e formato binário executável.

Mas nem todos concordam com a política de divulgação agressiva do Project Zero, do Google, que foi fundada em julho de 2014, com o objetivo de erradicar bugs em softwares.

"Revelar automaticamente esta vulnerabilidade quando um prazo é alcançado sem nenhum contexto parece-me incrivelmente irresponsável e eu esperava mais cuidado e maturidade de uma empresa como a Google", escreveu um comentarista no relatório do bug.

Outros ressaltaram, no entanto, que só porque um bug ainda não foi divulgado publicamente não significa hackers ainda não estão explorando-a.

"Ninguém está fazendo bem mantendo-o em segredo", escreveu outro comentarista. "Ao expor a vulnerabilidade eles permitem que esses bilhões que podem estar expostos a essa ameaça fiquem ciente da mesma e tomem medidas defensivas."

O pesquisador de segurança do Google, Ben Hawkes, defendeu a política da empresa, escrevendo:

     O Project Zero acredita que os prazos de divulgação são atualmente a melhor abordagem para a segurança do usuário - permite aos fornecedores de software um tempo justo e razoável para exercer o seu processo de gerenciamento de vulnerabilidades, além de respeitar os direitos dos usuários de aprender e compreender os riscos que enfrentam.

     Com isso dito, vamos monitorar os efeitos dessa política muito de perto... Estamos felizes em dizer que os resultados iniciais mostraram que a maioria dos erros que temos relatados... foram corrijidos dentro do prazo, que é um testamento ao trabalho duro dos vendedores.

Em resposta à divulgação, a Microsoft emitiu uma declaração dizendo que está ciente do problema e está preparando uma correção.

"Estamos trabalhando para lançar uma atualização de segurança para resolver um problema de elevação de privilégio", um porta-voz da Microsoft disse via e-mail. "É importante notar que para um possível invasor potencialmente explorar um sistema, ele primeiro precisa ter credenciais de logon válidas e poder fazer logon localmente em uma máquina alvo. Recomendamos aos clientes que mantenham seu software anti-virus atualizados, instalem todas as atualizações de segurança disponíveis e ativem o firewall em seu computador."

A Micro$oft não declarou se planeja ter uma correção para o problema até o Patch Tuesday deste mês, que será dia 13 de janeiro.

May The Source be with You.