Pesquisador de segurança descobre acidentalmente vulnerabilidade zero-day no windows 7 e Windows Server 2008

Views: 95
0 0
Read Time:2 Minute, 40 Second

A vulnerabilidade foi descoberta enquanto o pesquisador de segurança estava trabalhando em uma ferramenta de segurança do Windows.

Um pesquisador de segurança francês descobriu acidentalmente uma vulnerabilidade de zero-day que afeta os sistemas operacionais Windows 7 e Windows Server 2008 R2 enquanto trabalha em uma atualização para uma ferramenta de segurança do Windows.

A vulnerabilidade reside em duas chaves de registro mal configuradas para os serviços RPC Endpoint Mapper e DNSCache que fazem parte de todas as instalações do Windows.

  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

O pesquisador francês de segurança Clément Labro, que descobriu o dia zero, diz que um invasor que tem uma base em sistemas vulneráveis pode modificar essas chaves de registro para ativar uma sub-chave geralmente empregada pelo mecanismo de monitoramento de desempenho do Windows.

As sub-teclas “Performance” geralmente são empregadas para monitorar o desempenho de um aplicativo e, por causa de sua função, também permitem que os desenvolvedores carreguem seus próprios arquivos DLL para rastrear o desempenho usando ferramentas personalizadas.

Enquanto em versões recentes do Windows, esses DLLs geralmente são restritos e carregados com privilégios limitados, Labro disse que no Windows 7 e Windows Server 2008, ainda era possível carregar DLLs personalizados que funcionavam com privilégios de nível DE SISTEMA.

Problema descoberto e divulgado acidentalmente

Mas enquanto a maioria dos pesquisadores de segurança relatam graves problemas de segurança como esses para a Microsoft em particular, quando os encontram, no caso de Labro, isso foi tarde demais.

Labro disse que descobriu o zero-dia depois que ele lançou uma atualização para o PrivescCheck, uma ferramenta para verificar as configurações erradas de segurança do Windows comuns que podem ser abusadas por malware para a escalada de privilégios.

A atualização, lançada no mês passado, adicionou suporte a um novo conjunto de verificações para técnicas de escalonamento de privilégios.

Labro disse que não sabia que as novas verificações estavam destacando um novo e não reparado método de escalada de privilégios até que ele começou a investigar uma série de alertas aparecendo em sistemas mais antigos como o Windows 7, dias após o lançamento.

Naquela época, já era tarde demais para o pesquisador relatar o problema à Microsoft em particular, e o pesquisador optou por blogar sobre o novo método em seu site pessoal.

A ZDNet entrou em contato com a Microsoft para comentar hoje, mas o fabricante do SO não forneceu uma declaração oficial antes da publicação deste artigo.

Tanto o Windows 7 quanto o Windows Server 2008 R2 chegaram oficialmente ao fim da vida útil (EOL) e a Microsoft parou de fornecer atualizações de segurança gratuitas. Algumas atualizações de segurança estão disponíveis para usuários do Windows 7 através do programa de suporte pago ESU (Extended Support Updates) da empresa, mas um patch para este problema ainda não foi lançado.

Não está claro se a Microsoft corrigirá o novo dia zero da Labro; no entanto, a ACROS Security já montou um micro-patch, que a empresa lançou hoje cedo. O micro-patch é instalado através do software de segurança 0patch da empresa e impede que atores mal-intencionados explorem o bug através do patch não oficial da ACROS.

FONTE: ZDNET

Previous post Mitigando ataques de ransomware – desacoplamento de chaves de criptografia de dados criptografados
Next post Belden divulga violação de dados como resultado de um ataque cibernético

Deixe um comentário