Un investigador de seguridad francés ha descubierto accidentalmente una vulnerabilidad de día cero o Zero Day. Esta afecta a los sistemas operativos Windows 7 y Windows Server 2008 R2. Mientras, se trabaja en una actualización de una herramienta de seguridad de Windows.
Una vulnerabilidad Zero Day de Windows 7 deberá ser solventada
La vulnerabilidad reside en dos claves de registro mal configuradas para los servicios RPC Endpoint Mapper y DNSCache que forman parte de todas las instalaciones de Windows.
- HKLM,SYSTEM, CurrentControlSet, Services, RpcEptMapper
- HKLM-SYSTEM-CurrentControlSet-Services-Dnscache
El investigador de seguridad francés Clément Labro, fue quien descubrió la vulnerabilidad en Windows 7. Dice que un atacante que tiene un punto de apoyo en los sistemas vulnerables puede modificar estas claves del registro para activar una subclave. Generalmente empleada por el mecanismo de supervisión del rendimiento de Windows.
Las subclaves «Performance» se suelen emplear para supervisar el rendimiento de una aplicación. Y debido a su papel, también permiten a los desarrolladores cargar sus propios archivos DLL. Con el objetivo de realizar un seguimiento del rendimiento mediante herramientas personalizadas.
En las versiones recientes de Windows, estos archivos DLL suelen estar restringidos y cargados con privilegios limitados. Labro dijo que en Windows 7 y Windows Server 2008, todavía era posible cargar archivos DLL personalizados. Estos se ejecutaban con privilegios de nivel de sistema.
Un problema descubierto y divulgado de forma accidental
Labro dijo que descubrió la vulnerabilidad en Windows 7 al lanzar una actualización a PrivescCheck. Una herramienta para comprobar las configuraciones erróneas de seguridad comunes de Windows que pueden ser abusadas por el malware para la escalada de privilegios.
La actualización, publicada el mes pasado, agregó compatibilidad con un nuevo conjunto de comprobaciones para las técnicas de escalado de privilegios.
Labro dijo que no sabía que los nuevos tickets estaban destacando un nuevo método de escalada de privilegios sin parches hasta que comenzó a investigar una serie de alertas que aparecen en sistemas más antiguos como Windows 7, días después del lanzamiento.
En ese momento, ya era demasiado tarde para el investigador para informar el problema a Microsoft en privado, y el investigador eligió su blog sobre el nuevo método.
Tanto Windows 7 como Windows Server 2008 R2 han llegado oficialmente al final de su vida útil (EOL) y Microsoft ha dejado de proporcionar actualizaciones de seguridad gratuitas. Algunas actualizaciones de seguridad están disponibles para los usuarios de Windows 7 a través del programa de soporte de pago ESU (Extended Support Updates) de la empresa, pero aún no se ha publicado un parche para este problema.
No está claro si Microsoft parcheará el nuevo Zero Day de Labro; sin embargo, ACROS Security ya ha creado un micro-parche, que la compañía lanzó hoy. El micro-parche se instala a través del software de seguridad 0patch de la compañía y evita que los actores maliciosos exploten el error a través del parche no oficial de ACROS.
