Google revela un error de día cero de Windows mal parcheado, ahora sin parche

El equipo Project Zero de Google ha hecho públicos los detalles de una vulnerabilidad de seguridad de día cero parcheada incorrectamente en la API del administrador de trabajos de impresión de Windows que podría ser aprovechada por un mal actor para ejecutar código arbitrario.

Los detalles de la falla sin parchear se revelaron públicamente después de que Microsoft no pudo rectificarla dentro de los 90 días posteriores a la divulgación responsable el 24 de septiembre.

Originalmente rastreada como CVE-2020-0986, la falla se refiere a una explotación de elevación de privilegios en GDI Print / Print Spooler API («splwow64.exe») que fue informada a Microsoft por un usuario anónimo que trabaja con Trend Micro’s Zero Day Initiative (ZDI ) a finales de diciembre de 2019.

Pero sin ningún parche a la vista durante unos seis meses, ZDI terminó publicando un aviso público como un día cero el 19 de mayo a principios de este año, después de lo cual fue explotado en la naturaleza en una campaña denominada «Operación PowerFall» contra un Sur no identificado. empresa coreana.

«splwow64.exe» es un binario del sistema principal de Windows que permite que las aplicaciones de 32 bits se conecten con el servicio de administrador de trabajos de impresión de 64 bits en sistemas Windows de 64 bits. Implementa un servidor de llamada a procedimiento local (LPC) que puede ser utilizado por otros procesos para acceder a las funciones de impresión.

La explotación exitosa de esta vulnerabilidad podría resultar en que un atacante manipule la memoria del proceso «splwow64.exe» para lograr la ejecución de código arbitrario en modo kernel, usándolo finalmente para instalar programas maliciosos; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario.

Sin embargo, para lograr esto, el adversario primero tendría que iniciar sesión en el sistema de destino en cuestión.

Aunque Microsoft finalmente abordó la deficiencia como parte de su actualización del martes de parches de junio, los nuevos hallazgos del equipo de seguridad de Google revelan que la falla no se ha solucionado por completo.

«La vulnerabilidad aún existe, solo el método de explotación tuvo que cambiar», dijo Maddie Stone, investigadora de Google Project Zero, en un artículo.

«El problema original era una desreferencia de puntero arbitraria que permitía al atacante controlar los punteros src y dest a un memcpy», Stone detallado. «La ‘corrección’ simplemente cambió los punteros a compensaciones, lo que aún permite el control de los argumentos en el memcpy».

Se espera que Microsoft resuelva la falla de elevación de privilegios recientemente informada, identificada como CVE-2020-17008, el 12 de enero de 2021, debido a «problemas identificados en las pruebas» después de prometer una solución inicial en noviembre.

Stone también ha compartido un código de explotación de prueba de concepto (PoC) para CVE-2020-17008, basado en un PoC publicado por Kaspersky para CVE-2020-0986

«Ha habido demasiados casos este año de días cero que se sabe que se explotan activamente y se corrigieron incorrectamente o de forma incompleta», Stone dijo. «Cuándo [in the wild] los días cero no se solucionan por completo, los atacantes pueden reutilizar su conocimiento de vulnerabilidades y métodos de explotación para desarrollar fácilmente nuevos días cero».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática