Error Zero-day en Windows 7 y Server 2008

26 Noviembre 2020
Alto

Un investigador de seguridad francés descubrió accidentalmente una vulnerabilidad de día cero que afecta a los sistemas operativos Windows 7 y Windows Server 2008 R2 mientras trabajaba en una actualización de una herramienta de seguridad de Windows.

El investigador Clément Labro, dijo que descubrió el día cero  después de  que lanzó una actualización de PrivescCheck, una herramienta para verificar las configuraciones erróneas de seguridad comunes de Windows que pueden ser abusadas por malware para escalar privilegios.

Vulnerabilidad en claves de registro para los servicios RPC Endpoint Mapper y DNSCache 

La vulnerabilidad reside en dos claves de registro mal configuradas para los servicios RPC Endpoint Mapper y DNSCache que forman parte de todas las instalaciones de Windows.

HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper

HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache

Un atacante que tiene un punto de apoyo en sistemas vulnerables puede modificar estas claves de registro para activar una subclave que normalmente se emplea en el mecanismo de supervisión del rendimiento de Windows.

Subclaves de "rendimiento"

Las subclaves de "rendimiento"  se emplean normalmente para supervisar el rendimiento de una aplicación y, debido a su función, también permiten a los desarrolladores cargar sus propios archivos DLL para realizar un seguimiento del rendimiento mediante herramientas personalizadas.

Si bien en las versiones recientes de Windows, estas DLL generalmente están restringidas y cargadas con privilegios limitados, Labro dijo que en Windows 7 y Windows Server 2008, aún era posible cargar DLL personalizadas que se ejecutaban con privilegios de nivel de SISTEMA.

Microsoft

Microsoft por el momento no ha proporcionado una declaración oficial, por lo que no está claro si Microsoft parcheará el nuevo día cero de Labro.

Soporte Oficial

Tanto Windows 7 como Windows Server 2008 R2 han llegado oficialmente al final de su vida útil (EOL) y Microsoft ha dejado de proporcionar actualizaciones de seguridad gratuitas. Algunas actualizaciones de seguridad están disponibles para los usuarios de Windows 7 a través del programa de soporte pagado ESU (Extended Support Updates) de la compañía, pero aún no se ha lanzado un parche para este problema.

Microparche gratuito para todos los sistemas Windows afectados

Los microparches de 0patch son códigos que se envían a través de la plataforma de 0patch a los clientes de Windows para parchear problemas de seguridad en tiempo real y se aplican a los procesos en ejecución sin necesidad de reiniciar el sistema.

0patch link: https://0patch.zendesk.com/hc/en-us/articles/360011925159

Este microparche está disponible de forma gratuita para todos hasta que Microsoft publique una solución oficial para el día cero para abordar los problemas de permisos incorrectos del registro.

El microparche "sabotea las operaciones de monitoreo de desempeño para los dos servicios afectados, Dnsclient y RpcEptMapper", dice 0patch.

Se recomienda lo siguiente:

  • Gestionar la migración o reemplazo de equipos con sistemas operativos obsoletos (Windows Server 2000, Server 2003, Windows 7, Windows Server 2008 y Windows Server 2008 R2) esto debido a que actualmente no poseen soporte de Microsoft y pueden ser explotados con mayor facilidad.
  • Instalar las actualizaciones del fabricante cuando estén disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
    • No se conoce actualmente ninguna solución oficial para abordar esta vulnerabilidad.
    • Evaluar cambiar los permisos de las claves de registro afectadas y deshabilitar el acceso a estas claves para los usuarios sin privilegios.

Tags: #Windows #Vulnerabilidad #RPC_Endpoint_Mapper #DNSCache #Windows_7 #Windows_2008 #ZeroDay


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.