Antiguo error de día 0 de Windows mal parcheado

24 Diciembre 2020
Alto

Un antiguo error de día cero descubierto por Google Project Zero podría ser nuevamente explotable debido a que en el momento que se evidencio fue incorrectamente parcheado en la API de cola de impresión de Windows y al día de hoy no existe un parche para dicha vulnerabilidad que podría ser aprovechada por un mal actor para ejecutar código arbitrario.

CVE-2020-0986

Maddie Stone, investigadora de seguridad de Google Project Zero, fue quien descubrió que el parche de Microsoft de junio no solucionaba la vulnerabilidad original identificada como CVE-2020-0986 y que está aún se puede llegar a explotar con algunas modificaciones.

Stone agrega que “un atacante aún puede activar CVE-2020-0986 para aumentar sus permisos a nivel de kernel enviando un desplazamiento en lugar de un puntero”.

La vulnerabilidad descubierta en mayo de este año fue aprovechada por los cibercriminales para realizar escalada de privilegios junto con un error en Internet Explorer que permitió la ejecución remota de código. Ambos defectos eran de días cero en el momento del ataque descubierto por Kaspersky.

El error de día cero originalmente conocida como CVE-2020-0986 trata de un exploit de elevación de privilegios en la API GDI Print / Print Spooler API ("splwow64.exe") que provoca una desreferencia de puntero arbitrario que permitía a un atacante controlar los punteros "SRC" y "DEST" a una función MEMCPY.

Explotación exitosa 

Una explotación exitosa de esta vulnerabilidad podría resultar en que un atacante manipulara la memoria del proceso "splwow64.exe" para lograr la ejecución de código arbitrario en modo kernel, y finalmente usarlo para instalar programas maliciosos como también ver, cambiar o eliminar datos y crear nuevas cuentas con derechos de usuario completos. Sin embargo, para lograr esto, el adversario primero tendría que iniciar sesión en el sistema de destino en cuestión.

"splwow64.exe" es un binario del sistema central de Windows que permite que las aplicaciones de 32 bits se conecten con el servicio de cola de impresión de 64 bits en sistemas Windows de 64 bits. Implementa un servidor de llamada a procedimiento local (LPC) que puede ser utilizado por otros procesos para acceder a las funciones de impresión.

CVE-2020-17008

A la nueva falla recibida por el equipo de seguridad de Microsoft el 24 de septiembre se le asignó el CVE-2020-17008. Se espera que dicha vulnerabilidad sea parcheada en el próximo martes de parches que corresponde al 12 de enero de 2021 siendo que en primera instancia se contaba con parchear dicha vulnerabilidad en noviembre de 2020.

Stone también ha compartido un código de explotación de prueba de concepto (PoC) para CVE-2020-17008, basado en un POC lanzado por Kaspersky para CVE-2020-0986.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante cuando estén disponibles en medios oficiales del proveedor. Es muy factible esperar un parche para el martes 12 de enero de 2021, dentro del ciclo habitual de «Patch Tuesday Microsoft» 

El listado de las CVE se adjunta a continuación:


Tags: #CVE-2020-0986 #CVE-2020-17008 #Kernel #Windows #Microsoft #Zero-Day #Vulnerabilidad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.