CVE-2017-0037, Google Project Zero filtra otra vulnerabilidad de Microsoft

Ha vuelto a ocurrir. Los responsables del equipo de ciberseguridad de Google -el equipo Project Zero- han vuelto a desclasificar una vulnerabilidad de Microsoft –CVE-2017-0037– que afecta a Microsoft Edge e Internet Explorer.

Las vulnerabilidades recogidas en dicho boletín afectan a los principales navegadores web de Microsoft y fueron reportadas por primera vez el 25 de Noviembre de 2016 por un investigador de Google, Ivan Fratric. El caso es que Microsoft no ha cumplido con el plazo de 90 días ofrecido por el gigante de internet, así que Google «no se ha cortado un pelo» a la hora de publicar los detalles.

Vulnerabilidades del CVE-2017-0037

Estamos hablando de algo que denominan «fallo de confusión de escritura» y que afecta en un módulo de Microsoft Edge e Internet Explorer, permitiendo a los atacantes ejecutar código arbitrario en la máquina afectada, siempre que el usuario sea llevado a un servidor web comprometido o malicioso.

La presente vulnerabilidad afecta por igual a usuarios de Windows 7, 8 y 10. El descubridor ha publicado también una prueba de concepto en forma de exploit, que puede bloquear el navegador Edge o Internet Explorer, permitiendo así que el atacante lance el código y consiga permisos de administrador en el sistema afectado.

En una nota incluída junto al exploit, Fratric confirma que el ataque funciona en las versiones de 64 bits de Internet Explorer en Windows Server 2012 R2, además de las versiones de 32 bits en MS Edge e Internet Explorer 11.

HandleColumnBreak en ColumnSpanningElement

Como podemos comprobar en los detalles sobre la vulnerabilidad, una mala respresentación de este elemento es el culpable del problema. La prueba aportada consta de 17 líneas de código y consigue bloquear el navegador con dos variables: rcx y rax.

<!-- saved from url=(0014)about:internet -->

<style>

.class1 { float: left; column-count: 5; }

.class2 { column-span: all; columns: 1px; }

table {border-spacing: 0px;}

</style>

<script>

function boom() {

  document.styleSheets[0].media.mediaText = "aaaaaaaaaaaaaaaaaaaa";

  th1.align = "right";

}

</script>

<body onload="setInterval(boom,100)">

<table cellspacing="0">

<tr class="class1">

<th id="th1" colspan="5" width=0></th>

<th class="class2" width=0><div class="class2"></div></th>

El exploit está disponible en Exploit-DB para consultar los detalles o descargarlo y realizar pruebas. Está verificado su funcionamiento y su fecha de publicación fue el 24 de Febrero.

Sin embargo, un atacante puede afectar el rax modificando propiedades de tabla -como espaciado de bordes- y el ancho del primer bloque th. Veamos qué pasa si un atacante puede apuntar rax a la memoria que el controla. […] Asumiendo un ataque en el que podemos pasar un check en la línea, 00007ffe`8f330a59, MSHTML!Layout::Patchable::Readable es llamado de nuevo con los mismos argumentos. Tras ello, mediante una serie de relaciones partiendo del rax, un puntero de función es obtenido y guardadao en rdi.

Es la segunda vez en poco tiempo que el equipo de Google Project Zero decide hacer pública una vulnerabilidad importante que afecta a usuarios de Microsoft. La primera se trató de un fallo en Windows Graphics Device (GDI) que Microsoft tampoco ha solucionado en los 90 días de cortesía dados por Google.

Además, existe otra importante vulnerabilidad que MS tampoco ha conseguido parchear en los boletines de Febrero y es la recientemente descubierta vulnerabilidad SMB en Windows, que afecta a todas las versiones recientes de este sistema operativo.

Me gustaría conocer vuestra opinión, ¿hace bien Google publicando vulnerabilidades como esta en 90 días o debería esperar a que existiese una mitigación/parche?