Hace apenas un día se reportaba la publicación de un exploit para abusar de una vulnerabilidad en el proyecto de código abierto Chromium, empleado por algunos de los navegadores web más populares del mundo, incluyendo Chrome y Edge. Ahora, a través de Twitter se lanzó un segundo exploit de ejecución remota de código que afecta a cualquier navegador basado en Chromium.
El reporte señala que esta es una falla día cero, lo que quiere decir que se ha publicado un exploit antes de que los responsables del software comprometido pudieran lanzar una actualización o parche de seguridad. Las fallas día cero representan un riesgo de seguridad muy alto para los usuarios, pues los actores de amenazas pueden desplegar ataques exitosos mientras las actualizaciones están listas.
A través de su cuenta de Twitter, un especialista identificado como “frust” lanzó un exploit de prueba de concepto (PoC) para esta falla basada en Chromium. Según su reporte, la explotación exitosa de la vulnerabilidad provoca el inicio de la aplicación Bloc de Notas en sistemas Windows.
Esta falla día cero fue publicada apenas unos días después de que Google lanzara la versión 89.0.4389.128 de Chrome, que contenía los parches de seguridad para abordar una falla día cero en Chromium diferente que fue revelada este lunes.
Del mismo modo que la falla revelada a inicios de esta semana, la vulnerabilidad día cero descrita por frust no puede esquivar el entorno sandbox de Chromium por sí misma. Este entorno ayuda a evitar que los exploits ejecuten código o accedan a archivos en el sistema host.
Los hackers que deseen completar un ataque exitoso deben encadenar esta falla día cero con un escape de sandbox sin corregir. En su publicación, el desarrollador de la PoC demuestra su funcionalidad al explotar esta falla.
Poco después de la publicación de la PoC, un grupo de especialistas confirmó que la falla funciona en las versiones actuales de Chrome y Edge utilizando el argumento –no-sandbox para desactivar las las funciones del entorno seguro: “Al inhabilitar el sandbox, es posible iniciar arbitrariamente el Bloc de Notas en Chrome 89.0.4389.128 y Edge 89.0.774.76”, señalaron los investigadores en entrevista para BleepingComputer.
Aunque Google planeaba lanzar Chrome 90 para equipos de escritorio el pasado 13 de abril, la compañía decidió lanzar una nueva actualización para abordar esta vulnerabilidad. Por otra parte, aún se desconocen las medidas que implementará Microsoft para abordar las fallas en Edge.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad