Un investigador encontró accidentalmente un error de día 0 en Windows 7 y servidor de windows 2008

0-day bug in Windows 7

El investigador francés de ciberseguridad Clément Labro estaba trabajando en una herramienta de seguridad cuando descubrió que Windows 7 y servidor de windows 2008 R2 era vulnerable a un error de escalada de privilegios locales de 0 días.

El experto escribe que la vulnerabilidad radica en dos claves de registro configuradas incorrectamente para RPC Endpoint Mapper y DNSCache, que forman parte de todas las instalaciones de Windows:

  • HKLMSYSTEMCurrentControlSetServiciosRpcEptMapper
  • HKLMSYSTEMCurrentControlSetServiciosDnscache

Por ejemplo, un atacante que ya haya ingresado al sistema puede cambiar estas claves de tal manera que se active la subclave que se utiliza para la supervisión del rendimiento de Windows..

Este mecanismo se utiliza para monitorear el rendimiento de las aplicaciones., y también permite a los desarrolladores cargar sus propios archivos DLL para realizar un seguimiento de su rendimiento utilizando herramientas especiales.

Aunque las últimas versiones de Windows suelen cargar archivos DLL con privilegios limitados, Windows 7 y servidor de windows 2008 todavía puede cargar archivos DLL personalizados que eventualmente se ejecutarán con privilegios de SISTEMA.escribe Clément Labro.

La mayoría de los investigadores informan de forma privada sobre problemas de seguridad graves a Microsoft tan pronto como los descubren., pero en el caso de Labro, fue muy tarde. El caso es que el investigador encontró el problema después de publicar una actualización de su herramienta PrivescCheck., que se utiliza para identificar configuraciones de seguridad incorrectas de Windows (El malware puede abusar de ellos para elevar los privilegios.).

De este modo, Se ha agregado un nuevo conjunto de comprobaciones para métodos de escalada de privilegios a la actualización de PrivescCheck.. Labro escribe que en ese momento no se dio cuenta de que estos controles revelan una nueva, forma sin parches de elevar privilegios.

Unos días después del lanzamiento comencé a analizar las extrañas advertencias que aparecían en sistemas más antiguos como Windows. 7. Desgraciadamente, Ya era demasiado tarde en ese momento para informar el problema en privado., Así que acabo de revelar los detalles de la vulnerabilidad que encontré en mi blog..dijo Clément Labro.

Desde el soporte para Windows 7 y servidor de windows 2008 R2 ha sido descontinuado por mucho tiempo, Microsoft prácticamente ha dejado de publicar actualizaciones de seguridad para estos sistemas operativos.. Algunas actualizaciones todavía están disponibles para Windows 7 usuarios a través de la ESU paga (Actualizaciones de soporte extendido) programa, pero tampoco hay ninguna solución para el problema que Labro encontró allí..

Hasta ahora, solo un microparche no oficial de Acros Seguridad, que desarrolla 0pach, está disponible para usuarios de sistemas operativos más antiguos. Déjame recordarte que 0patch es una plataforma diseñada especialmente para este tipo de situaciones., como corregir vulnerabilidades de día 0 y otras vulnerabilidades sin parches, para respaldar productos que ya no son respaldados por los fabricantes, software personalizado, etcétera.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *