esenfrdeitptru

Vulnerabilidad de ejecución remota de código en componente gráfico de Windows

AS-021-2021

Fecha: 01/Marzo/2021

Resumen:

El equipo de seguridad de Google, llamado Project Zero, compartió detalles y una prueba de concepto que permite explotar un fallo de seguridad crítico que afecta al componente gráfico de Windows.

La vulnerabilidad etiquetada con el CVE-2021-24093, se identificó en el renderizado de texto de alta calidad de Microsoft DirectWrite.

El fallo está presente en múltiples versiones de Windows 10 y Windows server. Project Zero, después de transcurridos 90 días, liberó la prueba de concepto para explotarlo.

La vulnerabilidad fue reportada a Microsoft en noviembre de 2020, y el fabricante lanzó un parche de seguridad para corregirla el 9 de febrero.

El API de DirectWrite es utilizado por los navegadores web para rasterizar las fuentes, el fallo permitiría corromper el estado de la memoria lo que posibilita que el atacante pueda ejecutar código remoto en el equipo de la víctima.

Es importante instalar los parches de seguridad provistos por el fabricante.

Referencias:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24093

https://www.bleepingcomputer.com/news/security/google-shares-poc-exploit-for-critical-windows-10-graphics-rce-bug

https://bugs.chromium.org/p/project-zero/issues/detail?id=21232021/03/01