Saltar al contenido

Descubierta vulnerabilidad día Cero en Windows 7 y Windows Server 2008

Ya lo avisábamos en su momento, cuando hablamos del fin de vida para Windows 7 y parientes (Windows Server 2008) que, como ya sabréis, ocurrió hace 10 meses. Pero es hora de volver a recordaros lo evidente: es necesario dejar de usar estos sistemas operativos lo antes posible, o utilizarlos debidamente aislados.

Un investigador de ciberseguridad francés acaba de publicar detalles de un nuevo Zero day (vulnerabilidad día Cero o no conocida hasta la fecha) que afecta a los ancianos Windows 7 y Windows Server 2008.

La vulnerabilidad salió a la luz mientras el investigador probaba una herramienta de seguridad, y reside en dos claves de registro indebidamente configuradas, para el RPC (Remote Procedure Call) Endpoint Mapper y la segunda, en el servicio DNS Cache.

Vulnerabilidades para Windows descubiertas y filtradas por accidente

Las claves de registro que apunta Clément Labro son las siguientes:

  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Las subclaves de tipo “rendimiento” son habitualmente utilizadas para monitorizar el desempeño de una aplicación y, debido a su rol, permite además a los desarrolladores cargar sus propias DLL para realizar seguimiento del rendimiento con sus propias librerías.

ZdNet

La diferencia entre los sistemas nuevos como Windows 10 y estos ya comentados, es que en los primeros, estas DLL están restringidas, no así en los segundos, de forma que se permite la carga de librerías de terceros como privilegios de SYSTEM.

Ahora viene el problema, y es que el experto estaba actualizando su herramienta de comprobación de Escalado de Privilegios PrivescCheck, habiendo publicado una nueva versión el mes pasado.

Sin embargo, en ella se marcaba, sin ser consciente él, esta vulnerabilidad de tipo privilege escalation. Fue días después de haberse lanzado la nueva versión cuando, al revisar mensajes extraños en sistemas operativos como Windows 7, se dio cuenta del “pastel”.

Es decir, ya era demasiado tarde para reportar el problema a Microsoft de forma privada. Así que lo hizo fue publicar un artículo directamente en su site.

Mitigación y parches

Mientras tanto, Microsoft no dice nada, pero el caso es que ya llueve sobre mojado. Microsoft considera estos SO como fuera de período de soporte desde hace bastantes meses

La buena noticia, que la hay, es que ACROS Security ha publicado un micro-parche que, mediante la aplicación 0patch, nos permitirá tapar el problema temporalmente, al menos. Recordad que no es parche oficial.

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: