Hace un mes, un conocido hacker, SandboxEscaper desvelaba una vulnerabilidad desconocida en Windows 10. En lugar de comunicarla a la gente de Redmond decidió publicarla en Twitter con un mensaje un tanto depresivo o desanimado. Ahora ha encontrado otra vulnerabilidad y la ha vuelto a compartir en Twitter.
SandboxEscaper publica una vulnerabilidad Zero Day en Twitter
Ahora, unos meses después, SandboxEscaper comparte una vulnerabilidad zero-day de Windows 10. El propio hacker ha reconocido que esta vulnerabilidad es de bajo nivel y complicada de aprovechar. Esta vulnerabilidad todavía no ha sido corregida por Microsoft. Desde ZDNet han indicado que esta vulnerabilidad solo afecta a Windows 10 en todas sus versiones y a Windows Server 2016 y 2019.
https://twitter.com/SandboxEscaper/status/1054744201244692485
No funciona en sistemas anteriores según indica Will Dormann de CERT/CC, a que el archivo dssvc.dll, que corresponde al Servicio de uso compartido de datos, no se encuentra en Windows 8 y versiones anteriores.
Un riesgo bajo implícito con un parche en camino
Con esta vulnerabilidad en la palestra, para que se pueda producir la infección es necesario que el hacker cuente con acceso previo al ordenador. Con dicho acceso puede elevar sus privilegios de usuario, y con ello, eliminar archivos que de otra manera estarían más protegidos por el sistema.
Los riesgos asociados son un mal funcionamiento por el borrado de estos archivos del sistema y, la posibilidad de infectar otros equipos. Al sustituir estos archivos por otros modificados. Mitja Kolsek, CEO de ACROS Security recomienda probar la vulnerabilidad en máquinas virtuales, pues de otra manera, por el borrado de archivos de la prueba de concepto, el sistema no vuelve a iniciarse correctamente.
Desde la compañía de Kolsek, han estado trabajando de manera exhaustiva y tan solo siete horas después ya tienen un parche que bloquea dicha vulnerabilidad. Así se bloquea el posible borrado de archivos.
Este podría ser un parche candidato aunque, Microsoft por ahora no ha indicado nada al respecto. Seguramente en la próxima actualización se incluya un parche completo contra la vulnerabilidad, como se hizo con el otro descubrimiento de SandboxEscaper.
