La semana pasada conocimos una vulnerabilidad que está afectando a Windows 10, a través del programados de tareas del sistema. Con esta, se podría conseguir que cualquier aplicación ganase permisos de sistema y que está pendiente de ser corregida por Microsoft.
El error radica en el manejo de la interfaz de llamada de procedimiento local avanzado (ALPC). Es el responsable de ayudar al proceso del cliente a comunicarse con un proceso de servidor. La vulnerabilidad permitiría obtener privilegios elevados del sistema a un usuario local. El US-CERT señaló además, que el exploit funciona en los sistemas de 64 bits de Windows 10 y Windows Server 2016.
Hackers ya han empezado a utilizar la vulnerabilidad
Ahora, The Register informa que código que hace uso de este fallo ya se ha encontrado en un kit del grupo PowerPool y se utiliza para hacer que las diferentes cuentas de usuario obtengan permisos de administrador en diferentes sistemas de Windows en Chile, Alemania, India, Filipinas, Polonia, Rusia, UK, America y Ucrania.
Como se había predicho, solo se han necesitado dos días desde que se ha identificado este fallo para que se use de manera maliciosa por el grupo PowerPool.
El fallo instala una puerta trasera que toma capturas de pantalla para enviar comandos y controla el servidor desde el que se pueden escribir comandos con total libertad. Por el momento, no hay ninguna solución, y hasta que Microsoft libere la corrección en el próximo Patch Tuesday debemos tener cuidado.
Diferentes profesionales, entre los que se encuentra un trabajador de James Fowshaw, sugieren que una solución sería impedir que se escriba en C:\Windows\Tasks directory, así como diferentes reglas que puedan ayudar a encontrar los fallos.
