El usuario de Twitter SandboxEscaper reveló (en 2018) una vulnerabilidad Zero-Day para el Programador de tareas de Windows en los
sistemas de Windows
10 y Windows Server 2016 de 64 bits. Aparentemente, esta
vulnerabilidad está fuera de control, y actualmente no se conocen parches o
soluciones específicas.
Zero-Day en Windows
US-CERT ha confirmado que el exploit funciona en los sistemas Windows 10 y Windows Server 2016 de 64 bits y está enraizado en el programador de tareas de Windows.
En una publicación de Twitter en donde muestra su descontento,
SandboxEscaper también publicó una prueba de concepto para acompañar el error.
La naturaleza del tweet sugiere que tuvo una mala
experiencia con Microsoft al intentar enviar este error o errores previos a la
empresa, lo que finalmente lo llevó a elegir Twitter para revelar públicamente
esta grave vulnerabilidad.
Here is the alpc bug as 0day: https://t.co/m1T3wDSvPX I don't fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.— SandboxEscaper (@SandboxEscaper) 27 de agosto de 2018
¿Cómo funciona?
El investigador Kevin Beaumont ha desglosado el
exploit en un post de su blog.
“Este exploit hace mal uso de SchRpcSetSecurity para
alterar permisos (no recomendaría ejecutarlo en vivo) para permitir la creación
de un enlace rígido y luego llama a un trabajo de impresión con la impresora
XPS (instalado con Windows XP Service Pack 2+) para llamar al archivo DLL secuestrado como SYSTEM (a través
del proceso de Spooler)”.
Microsoft Windows tiene una función de “programador
de tareas” que brinda a los usuarios la posibilidad de programar la ejecución
de programas en horarios predeterminados. La interfaz ALPC es básicamente
un recurso de comunicación de procesos utilizado por los componentes del
sistema operativo en Windows para la transferencia de mensajes.
Aquí, una parte de esta interfaz llamada
SchRpcSetSecurity está abierta para que cualquiera pueda establecer permisos de
archivos locales a través de ella. Dado que la función API de ALPC no
verifica los permisos, cualquier posible malintencionado local puede alterarlos
para obtener privilegios escalados.
En respuesta a este incidente, Microsoft declaró
a The Register que “actualizaría de forma proactiva los
dispositivos afectados lo antes posible”. Probablemente llegará una solución
para este problema el próximo martes de parches de Microsoft que está
programado para el 11 de septiembre.
¿Te ha sido útil el post? Por favor compártelo en
las redes sociales.