Hay gente que quiere ver el mundo arder, y ese parece ser el caso del usuario de Twitter SandboxEscaper, un hacker que descubrió una vulnerabilidad desconocida en Windows 10 y decidió publicarla en Twitter en lugar de reportarlo a Microsoft, porque "ya no le importa una mierda la vida".

Ese es el mensaje que acompañó su tuit con el enlace a GitHub en donde muestra una prueba de concepto para aparentemente explotar la vulnerabilidad. El bug está descrito como un fallo de seguridad en el programador de tareas de Windows que permite la escalada de privilegios, y uno que aún no tiene solución.

Here is the alpc bug as 0day: https://t.co/m1T3wDSvPX I don't fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.— SandboxEscaper (@SandboxEscaper) 27 de agosto de 2018

Will Dormann, analista de vulnerabilidades en el CERT/CC verificó la vulnerabilidad y confirmó que funciona en una versión completamente actualizada de Windows 10 de 64 bits.

El zero-day tiene una puntuación CVSS de 6.4 - 6.8, lo que indica que es de severidad moderada. Microsoft ya ha admitido la existencia del mismo, y como dijeron a ZDNet ya están trabajando en actualizar los dispositivos afectados lo más pronto posible a tiempo para sus usuales parches de los martes.

I've confirmed that this works well in a fully-patched 64-bit Windows 10 system. LPE right to SYSTEM! https://t.co/My1IevbWbz— Will Dormann (@wdormann) 27 de agosto de 2018

En ZDNet …