Nuevo Zero Day en Windows permite escalar privilegios

22 Mayo 2019
Crítico

El investigador anónimo llamado “SandboxEscaper” ha lanzado silenciosamente un nuevo exploit Zero Day para el sistema operativo Windows, solo una semana después del Patch Tuesday de Microsoft. Este exploit es el quinto de una cadena que comenzó a fines de agosto del año pasado.

Publicado en GitHub, la nueva vulnerabilidad reside en el Programador de tareas, una utilidad que permite a los usuarios de Windows programar el inicio de programas o secuencias de comandos en un momento predefinido o en intervalos de tiempo especificados. La prueba de concepto (PoC) publicada, permite escalar privilegios de forma local, lo que podría facultar a un atacante o malware a obtener un control total sobre archivos con privilegios de administrador.

El exploit publicado hace el uso de la función ‘_SchRpcRegisterTask’, una función que sirve para registrar nuevas tareas en el servidor. El problema es que no verifica correctamente los permisos y, por lo tanto, puede usarse para establecer un permiso arbitrario de DACL (Lista de Control de Acceso Discrecional). Con esto, un programa malicioso podría ejecutar un fichero ‘.job’ que se encargue de registrar una tarea con privilegios de administrador y realice acciones maliciosas en el sistema.

La vulnerabilidad ha sido probada y se ha confirmado que funciona con éxito en versiones totalmente parchadas y actualizadas de Windows 10, 32 y 64 bits, y Windows Server 2016 y 2019.

Actualización:

SandboxEscaper después de lanzar el código de explotación para dos vulnerabilidades de ZeroDay en Windows 10 en las últimas 48 horas, el desarrollador ha publicado hoy dos más; un bypass para el parche CVE-2019-0841 que permite escalar privilegios que afecta al Informe de errores de Windows y un LPE (Local Privilege Escalation) denominado InstallerBypass, y se puede usar para colocar binarios maliciosos en la carpeta System32 y ejecutarlos como administrador.

Aún no sale una solución de seguridad para esta vulnerabilidad por lo que los usuarios de Windows deben esperar al proximo Patch Tuesday, a menos que la compañía presente una actualización de emergencia.

El listado de las CVE se adjunta a continuación:


Tags: #zeroday #windows #microsoft #server #poc #taskmgr #dacl #patch #tuesday


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.