Descubierta vulnerabilidad día Cero en Windows 7 y Windows Server 2008

Ya lo avisábamos en su momento, cuando hablamos del fin de vida para Windows 7 y parientes (Windows Server 2008) que, como ya sabréis, ocurrió hace 10 meses. Pero es hora de volver a recordaros lo evidente: es necesario dejar de usar estos sistemas operativos lo antes posible, o utilizarlos debidamente aislados.

Un investigador de ciberseguridad francés acaba de publicar detalles de un nuevo Zero day (vulnerabilidad día Cero o no conocida hasta la fecha) que afecta a los ancianos Windows 7 y Windows Server 2008.

La vulnerabilidad salió a la luz mientras el investigador probaba una herramienta de seguridad, y reside en dos claves de registro indebidamente configuradas, para el RPC (Remote Procedure Call) Endpoint Mapper y la segunda, en el servicio DNS Cache.

Vulnerabilidades para Windows descubiertas y filtradas por accidente

Las claves de registro que apunta Clément Labro son las siguientes:

• HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
• HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Las subclaves de tipo «rendimiento» son habitualmente utilizadas para monitorizar el desempeño de una aplicación y, debido a su rol, permite además a los desarrolladores cargar sus propias DLL para realizar seguimiento del rendimiento con sus propias librerías.

ZdNet

La diferencia entre los sistemas nuevos como Windows 10 y estos ya comentados, es que en los primeros, estas DLL están restringidas, no así en los segundos, de forma que se permite la carga de librerías de terceros como privilegios de SYSTEM.

Ahora viene el problema, y es que el experto estaba actualizando su herramienta de comprobación de Escalado de Privilegios PrivescCheck, habiendo publicado una nueva versión el mes pasado.

Sin embargo, en ella se marcaba, sin ser consciente él, esta vulnerabilidad de tipo privilege escalation. Fue días después de haberse lanzado la nueva versión cuando, al revisar mensajes extraños en sistemas operativos como Windows 7, se dio cuenta del «pastel».

Es decir, ya era demasiado tarde para reportar el problema a Microsoft de forma privada. Así que lo hizo fue publicar un artículo directamente en su site.

Mitigación y parches

Mientras tanto, Microsoft no dice nada, pero el caso es que ya llueve sobre mojado. Microsoft considera estos SO como fuera de período de soporte desde hace bastantes meses

La buena noticia, que la hay, es que ACROS Security ha publicado un micro-parche que, mediante la aplicación 0patch, nos permitirá tapar el problema temporalmente, al menos. Recordad que no es parche oficial.