Los investigadores han lanzado un exploit de prueba de concepto (PoC) para una
vulnerabilidad de escalamiento de privilegios local de Windows,
explotada activamente como parte de los
parches de mayo de 2023.
El subsistema Win32k (controlador de kernel Win32k.sys)
administra el administrador de ventanas, la salida de pantalla, la entrada y
los gráficos del sistema operativo, y actúa como una interfaz entre varios
tipos de hardware de entrada.
Como tal, explotar este tipo de vulnerabilidades tiende a proporcionar
privilegios elevados o ejecución de código.
La vulnerabilidad, identificada como CVE-2023-29336, fue descubierta
originalmente por la firma de ciberseguridad Avast. Se le asignó una
calificación de gravedad CVSS v3.1 de 7.8, ya que permite a los usuarios con
pocos privilegios obtener privilegios de SYSTEM de Windows, los privilegios de
modo de usuario más altos en Windows. Avast dice que descubrieron la
vulnerabilidad después de que se explotara activamente como un Zero-Day en los
ataques.
Para generar conciencia sobre la falla explotada activamente y la necesidad de
aplicar actualizaciones de seguridad de Windows, CISA también publicó una
alerta y la agregó a su catálogo de
«Vulnerabilidades conocidas explotadas».
Exactamente un mes después de que el parche estuvo disponible, los analistas
de seguridad de la firma de ciberseguridad Web3 Numen han publicado detalles
técnicos completos sobre la falla CVE-2023-29336 y un exploit PoC para Windows
Server 2016.
Microsoft dice que solo afecta a las versiones anteriores de Windows,
incluidas las versiones anteriores de Windows 10, Windows Server y Windows 8,
y no afecta a Windows 11.
«Si bien esta vulnerabilidad parece no ser explotable en la versión del
sistema Win11, representa un riesgo significativo para los sistemas
anteriores»,
explica Numen en su informe.
«La explotación de tales vulnerabilidades tiene un historial notorio, y en
este análisis profundizamos en los métodos empleados por los actores de
amenazas para explotar esta vulnerabilidad específica, teniendo en cuenta la
evolución de las medidas de mitigación».
Al analizar la vulnerabilidad en Windows Server 2016, los investigadores de
Numen descubrieron que Win32k solo bloquea el objeto de ventana pero no
bloquea el objeto de menú anidado. Esta omisión, que según los investigadores
resulta de la copia de código obsoleto a versiones más nuevas de Win32k, deja
los objetos del menú vulnerables a la manipulación o secuestro si los
atacantes alteran la dirección específica en la memoria del sistema.
Tomar el control del objeto de menú significa obtener el mismo nivel de acceso
que el programa que lo lanzó, pero incluso si el primer paso no otorga a los
atacantes privilegios de nivel de administrador, es un trampolín efectivo para
ayudar a lograrlo a través de los pasos posteriores.
Los investigadores experimentaron con varios métodos de manipulación del
diseño de la memoria y finalmente desarrollaron un PoC funcional que
produciría una elevación confiable a los privilegios de System.
Fuente: BC
Los comentarios están cerrados.