Un millón de ordenadores Windows siguen expuestos a uno de los peores fallos del año y se han publicado hasta 3 fallos sin parchear para hackear Windows 10. Como no hay dos noticias sin tres sobre Windows y su seguridad, ahora ha salido a la luz la existencia de Notebad, el nuevo fallo de Windows que permite ejecutar cualquier aplicación con el Bloc de Notas. Os damos todas las claves de este nuevo problema de seguridad tras el salto.

Nuestros compañeros de RedesZone nos dan todas las claves de Notebad: el nuevo fallo Zero-Day en Windows que permite ejecutar cualquier proceso dentro del bloc de notas. No está siendo un buen mes para Microsoft en lo que respecta a fallos de seguridad en su sistema operativo Windows. Tal y como hemos explicado en la introducción, son varios los fallos descubiertos, aunque es cierto que algunos cuentas con su correspondiente parche (ahora falta que muchos usuarios lo instalen).

Notebad, el nuevo fallo de Windows en el Bloc de Notas

Tavis Ormandy, investigador de seguridad de Google Project Zero, seguro que aparece en las peores pesadillas de los ingenieros de Windows. Es ha sido el encargado de descubrir algunos de los agujeros de seguridad más graves de los últimos años. En este caso, ha encontrado un fallo RCE oculto en el Bloc de Notas.

En virtud de este fallo, es posible ejecutar cualquier aplicación desde dentro del bloc de notas con los mismos permisos que esta y con acceso a todos sus recursos. No sabemos desde cuando está presente el fallo de seguridad, pero es una aplicación que lleva integrada en el sistema desde los años 90.

Am I the first person to pop a shell in notepad? 🤣 ….believe it or not, It's a real bug! 🐞 pic.twitter.com/t2wTh7E93p

— Tavis Ormandy (@taviso) May 28, 2019

Ahora el debate se centra en decidir si es un simple error o un agujero de seguridad. Para el investigador de seguridad de Google no hay dudas, se trata de un fallo real y no va a facilitar más detalles hasta que Microsoft lance el habitual parche que soluciona el problema (o hasta que expire el habitual plazo que se le concede para hacerlo).

El fallo ha sido bautizado como Notebad, haciendo un juego de palabras con Notepad, nombre del Bloc de Notas en inglés. Por el momento no sabemos mucho más, pero se tema que pueda permitir ejecutar código en la memoria del sistema, escondiendo malware en un simple .txt. Esperemos que Microsoft lance un parche de seguridad para cerrar el fallo en la segunda semana de junio.