Google ha ayudado a Microsoft a solucionar 16 fallos de seguridad en el kernel de Windows

Escrito por Rubén Velasco
Actualidad

Google cuenta con un departamento, llamado Project Zero, formado por un grupo de investigadores de seguridad dedicados a buscar fallos de seguridad en los principales productos de software y ayudar a los desarrolladores a solucionarlos. Este departamento trabaja en buscar fallos de seguridad, por ejemplo, en los principales productos antivirus, en las librerías más utilizadas por distintas aplicaciones y en cualquier programa, tanto de código abierto como privativo, como es el caso de Windows.

Recientemente, este grupo de investigadores ha hecho público un informe en el que demuestra cómo en el último año, estos investigadores han detectado, reportado y ayudado a Microsoft a solucionar un total de 16 fallos de seguridad, dos de los cuales eran zero-day en el momento de su descubrimiento, en el kernel de su sistema operativo, Windows.

La principal causa de estos fallos de seguridad han sido las fuentes del sistema operativo y su motor de renderizado. A diferencia de otros componentes del sistema operativo, las fuentes y el motor de renderizado nunca han sido un elemento de especial interés para la compañía, por lo que, a lo largo de los años, se han ido acumulando varios fallos de seguridad que, de haber sido descubiertos por piratas informáticos, hubieran expuesto seriamente la seguridad de millones de usuarios.

Vulnerabilidades en Windows detectadas por GoogleLa mayoría de las vulnerabilidades eran posibles debido a que el motor de renderizado ejecutaba con permisos ring-0 (máximo nivel de permisos en el sistema), por lo que cualquiera de las vulnerabilidades podían haber permitido al atacante tomar el control del sistema completo.

Tras descubrir y solucionar estas vulnerabilidades, Microsoft ha empezado a mejorar este aspecto de su sistema operativo, en primer lugar, separando el motor de renderizado de fuentes del kernel y, en segundo lugar, ejecutándolo en un sandbox de manera que, en caso de ser vulnerable, el atacante no pueda tomar el control del sistema.

Dos de las 16 vulnerabilidades descubiertas en el kernel de Windows eran zero-day

Justo en el momento en el que Google reportaba dos de las vulnerabilidades del kernel de Windows, varios grupos de piratas informáticos estaban empezando a explotarlas. Estas afectaban tanto a las fuentes OTF como a las TTF, y fueron registradas con los códigos CVE-2015-2426 y CVE-2015-2455. Una vez estudiadas, Microsoft las solucionó con los boletines de seguridad de julio y agosto de 2015 respectivamente.

Prácticamente todas estas vulnerabilidades fueron detectadas con sencillos “fuzzing tests” (tests que ejecutan código aleatorio en programas y analizan su comportamiento). Si Microsoft hubiera prestado más atención a las partes menos llamativas de su sistema, como el motor de renderizado, su sistema no hubiera estado exponiendo, durante años, la seguridad de sus usuarios.

Está claro que la alianza entre Google y Microsoft es buena para todos, tanto para ambas empresas como para los propios usuarios, especialmente cuando hablamos en términos de seguridad.

¿Crees que el Project Zero de Google es algo bueno para las desarrolladoras de software?

Quizá te interese:

Fuente > Google Project Zero

Compártelo. ¡Gracias!