Revelan en Twitter otra vulnerabilidad 0-Day en Windows

Un investigador que en agosto publicó en Twitter un error de escalada de privilegios de Windows , ha publicado otra vulnerabilidad 0-Day en Windows para la que no existe solución. 

El nuevo error tiene algunas similitudes con la anterior vulnerabilidad. Los servicios de Windows se ejecutan generalmente con privilegios elevados. A veces realizan acciones en nombre de un usuario, y para ello utilizan una función llamada impersonation (suplantación). Estos servicios actúan como si estuvieran usando el conjunto de privilegios de un usuario en particular. Una vez que han finalizado esa acción, vuelven a su identidad normal y privilegiada.

Tanto este error como el anterior descubierto por el investigador dependen del uso incorrecto de la suplantación en determinadas herramientas o servicios, que revierten su personificación demasiado rápido y terminan realizando algunas acciones con privilegios elevados cuando de hecho deberían haber sido personificados. La última vez fue el Programador de tareas y ahora es el “Servicio de intercambio de datos”.

El último error permitió que un archivo se escribiera sobre otro. En este caso, se trata de una llamada para eliminar un archivo que se suplantó incorrectamente, lo que en última instancia brindaría a un atacante sin privilegios la capacidad de eliminar cualquier archivo del sistema, incluso aquellos a los que no deberían tener acceso.

https://t.co/1Of8EsOW8z Here’s a low quality bug that is a pain to exploit.. still unpatched. I’m done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.

— SandboxEscaper (@SandboxEscaper) 23 de octubre de 2018

El nuevo error parece tener un aspecto importante de sincronización. Para aprovechar la vulnerabilidad y que la suplantación finalice prematuramente dos acciones deben suceder simultáneamente.  SandboxEscaper dice que debido a esto, la explotación en una máquina de un solo núcleo parece poco probable. Pero sí son vulnerables las máquinas multinúcleo. El error anterior fue utilizado posteriormente por partes malintencionadas en su malware. El nuevo error será más difícil de explotar de esa manera, ya que la capacidad de eliminar archivos es menos útil que la capacidad de sobrescribir archivos.

El investigador ha publicado una prueba de concepto en GitHub. Se recomienda no ejecutarla en ningún sistema productivo porque intenta (y consigue) eliminar el controlador PCI de Windows, por lo que los usuarios tendrían que realizar una restauración para recuperar el sistema operativo.

La vulnerabilidad afecta a Windows 10, Windows Server 2016 y Windows Server 2019 donde se ha introducido el servicio de intercambio de datos.