Visión general

Algunos sistemas operativos de 64 bits y software de virtualización que se ejecutan en hardware con CPU Intel son vulnerables a un ataque de ampliación de privilegios locales. La vulnerabilidad puede ser explotada para la elevación de privilegios locales o un invitado escapar de un sistema de virtualización que esté corriendo sobre un sistema operativo de 64 bits.

Intel reclama que esta vulnerabilidad es un problema de aplicación de software, pues los procesadores funcionan según sus especificaciones documentadas. Sin embargo, el software que no toma en cuenta el comportamiento específico de Intel SYSRET quizás puede ser vulnerable.

Descripción de la vulnerabilidad

Para aprovechar la vulnerabilidad un atacante local previamente autenticado (ring3= nivel de usuario) que pueda ser capaz de diseñar específicamente un marco de pila para ser ejecutado por ring0 (nivel del kernel) después de una excepción de protección general (#GP). El fallo será tratado antes que el conmutador de la pila, lo que significa que el controlador de excepciones se ejecutará en ring0 en un RSP (Register Stack Pointer= registro de puntero de pila) elegido por el atacante provocando una elevación de privilegios.

Esta vulnerabilidad afecta a varios sistemas operativos de 64 bit que se estén ejecutando en CPUs de Intel tales como Citrix, FreeBSD, Red Hat, SUSE Linux, Xen, Oracle y Microsoft Windows. Las CPUs de AMD y ARM no están afectadas, así como tampoco Apple y VMware. Hasta el momento de la publicación se desconoce si los sistemas operativos basados en Linux, Debian y Fedora están afectados.

Detalles de la vulnerabilidad en los sistemas operativos Microsoft Windows

Vulnerabilidad de corrupción de memoria del programador de modo usuario – MS12-042 – Importante (en inglés)

Existe una vulnerabilidad de elevación de privilegios en el modo en que el programador de modo de usuario de Windows maneja solicitudes del sistema. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con derechos administrativos completos.

Factores atenuantes para la vulnerabilidad de corrupción de memoria de usuario modo Scheduler

Mitigación se refiere a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de la explotación de una vulnerabilidad. Los siguientes factores atenuantes pueden ser útiles para su situación:

  • Un atacante debe tener credenciales de inicio de sesión válida y ser capaz de iniciar sesión localmente para aprovechar esta vulnerabilidad. La vulnerabilidad no podría aprovecharse por los usuarios anónimos o de forma remota.
  • Esta vulnerabilidad sólo afecta a Windows 7 y Windows Server 2008 R2 x 64 en CPUs Intel.
  • Sistemas con CPUs basadas en AMD o ARM no se ven afectados por esta vulnerabilidad.

Los sistemas operativos Windows en computadoras personales o servidores afectados por esta vulnerabilidad clasificada como “Importante” son los siguientes:

  • Windows XP Service Pack 3 (KB2707511)
  • Windows server 2003 Service Pack 2 (KB2707511)
  • Windows 7 para sistemas basados en x64 (KB2709715)
  • Windows 7 para sistemas basados en x64 Service Pack 1 (KB2709715)
  • Windows Server 2008 R2 para sistemas basados en x64 (KB2709715)
  • Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (KB2709715)

Los sistemas operativos Microsoft Windows, FreeBSD y Red Hat ya han publicado una actualización de seguridad que corrige esta vulnerabilidad.

Fuente: US-CERT