La compañía Prevx proveedora de antimalware ha hecho sonar la alarma acerca de una grave vulnerabilidad en versiones completamente parcheadas de los sistemas operativos Microsoft Windows. Permite a los atacantes ejecutar malware, incluso en versiones diseñadas para soportar tales ataques (Windows 7 & Vista).

Ya se han publicado detalles técnicos sobre esta vulnerabilidad en un foro chino, llevando a líderes de la especulación a afirmar que no pasará mucho tiempo antes de que los atacantes se aprovechen de ella para ejecutar código malicioso.

“Esto podría convertirse potencialmente en una pesadilla debido a la naturaleza de la falla”, afirmo el investigador de Prevx Marco Giuliani agregando además que: “Esperamos que este ataque esté muy pronto activamente utilizando malware– es una oportunidad que los creadores de malware seguramente no se perderan”.

El fallo reside en la parte del controlador win32k.sys del núcleo de Windows y el resultado de una API conocida como NtGdiEnableEUDC que se produce un error para examinar correctamente la entrada del usuario para los contenidos nocivos. Los atacantes pueden explotar el fallo redirigiendo direcciones de memoria de retorno sobrescribendola con código malicioso que, a continuación, se ejecuta con privilegios de modo de núcleo. Como resultado, el fallo permite que incluso los usuarios ó procesos con privilegios limitados pueden ejecutar código con derechos elevados.

“Es un exploit de una escalada de privilegios que no pasa por la protección otorgada por la tecnología de control de cuentas de usuario(UAC) implementada en Windows Vista y Windows 7”, dijo Giuliani. “Todos los sistemas operativos Windows XP/Vista/7 de 32 y 64 bits son vulnerables a este ataque”.

Microsoft “es consciente del problema y está bajo investigación”, según un comunicado, que se atribuye a la portavoz Jerry Bryant, Gerente del Grupo de Comunicaciones de Respuesta de la compañia.

El miércoles por la noche, un  tweeted de Respuesta de Seguridad Microsoft (Microsoft Security Response) dice que: “Estamos investigando una PoC pública para una vulnerabilidad local EoP que requieren una cuenta en el sistema de destino”.

No había más detalles disponibles en el momento de la escritura. Si se confirma, la vulnerabilidad sin parchear sería el segundo 0 day que se sabe que afectan software de Microsoft. A principios de este mes, los investigadores desenterraron un fallo de seguridad no relacionadas en las versiones anteriores de Internet Explorer que está siendo explotada en los sitios web comprometidos.

Un método para prevenir el problema ocasionado por esta vulnerabilidad hasta que exista un parche oficial es limitar los permisos del usuario en la rama siguiente:

HKEY_USERS\[SID DEL USUARIO]\EUDC

En el registro, se debe negar el permiso de escritura a los usuarios no administradores. Gráficamente, es sencillo (localizando el SID del usuario, botón derecho sobre la rama del registro y denegar).

Para automatizar el proceso, se aconseja (aunque puede tener efectos secundarios, si lo hace, hágalo bajo su responsabilidad) utilizando subinacl.exe, una herramienta oficial de Microsoft que puede descargar desde el siguiente enlace:

SubInACL (SubInACL.exe)

Una vez instalada, localizar el SID del usuario (normalmente terminará en 1000) y el nombre de máquina y usuario, utilizar el comando:

whoami /user:

INFORMACIÓN DE USUARIO
———————-

Nombre de usuario SID
==============================================
ordenador\usuario S-1-5-21-123456789-12345677889-123445678990-1000

y ejecutar:

subinacl.exe /subkeyreg “HKEY_USERS\
S-1-5-21-123456789-12345677889-123445678990-1000\EUDC” /deny=
ordenador\usuario=w

Con esto se evitará que el usuario pueda escribir en esa rama y por tanto la prueba de concepto de la vulnerabilidad no funcionará. Si hubiera más usuarios repetir para el resto de todos en el equipo.

Traducción: Velcro

Fuentes: The Register y Hispasec.com

Anuncios