Microsoft se lleva una gran sorpresa al ver publicado en Twitter la nueva vulnerabilidad 0-day de Windows 10 sin recibir ningún aviso por parte del hacker que lo descubrió.

Existe una norma no escrita que establece tres meses para informar a la compañía de Microsoft de una vulnerabilidad para que dé tiempo a desarrollar un parche y evitar una brecha mayor. SandboxEscaper, usuario de Twitter, ha publicado una vulnerabilidad del tipo 0-day de Windows 10 sin informar antes a Microsoft.

El bug está descrito como un fallo de seguridad en el programador de tareas de Windows que permite la escalada de privilegios, y uno que aún no tiene solución.

Will Dormann un reputado analista de vulnerabilidad que trabaja en el CERT/CC ha verificado dicha vulnerabilidad y ha confirmado que está operativo en la versión a actualizada de Windows 10 de 64bits.

Dicha vulnerabilidad 0-day tiene una puntuación CVSS de entre 6.4 y 6.8, que indica que es una vulnerabilidad de severidad moderada. Microsoft reconoce la existencia de este problema y han informado que están trabajando de manera ardua para corregir el problema en los sistemas operativos afectados y que es posible que tengan solución para el martes, que es cuando lanzan los parches de seguridad.

En ZDNet también apuntan que un usuario en Reddit con el mismo nombre «SandboxEscaper» ya había intentando vender, o al menos estaba tanteando el terreno para vender la vulnerabilidad en Reddit.

No hablamos de un hacker de sombrero blanco, si no que ha decidido publicado en las redes sociales con la escusa de »ya no me importa una mierda la vida».

Es importante saber que las compañías pagan bien a quienes encuentran nuevos fallos y vulnerabilidades, aunque además de informar del fallo, se debe demostrar que existe.