0
0
A vulnerabilidade foi descoberta enquanto o pesquisador de segurança estava trabalhando em uma ferramenta de segurança do Windows.
Um pesquisador de segurança francês descobriu acidentalmente uma vulnerabilidade de zero-day que afeta os sistemas operacionais Windows 7 e Windows Server 2008 R2 enquanto trabalha em uma atualização para uma ferramenta de segurança do Windows.
A vulnerabilidade reside em duas chaves de registro mal configuradas para os serviços RPC Endpoint Mapper e DNSCache que fazem parte de todas as instalações do Windows.
- HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
- HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
O pesquisador francês de segurança Clément Labro, que descobriu o dia zero, diz que um invasor que tem uma base em sistemas vulneráveis pode modificar essas chaves de registro para ativar uma sub-chave geralmente empregada pelo mecanismo de monitoramento de desempenho do Windows.
As sub-teclas “Performance” geralmente são empregadas para monitorar o desempenho de um aplicativo e, por causa de sua função, também permitem que os desenvolvedores carreguem seus próprios arquivos DLL para rastrear o desempenho usando ferramentas personalizadas.
Enquanto em versões recentes do Windows, esses DLLs geralmente são restritos e carregados com privilégios limitados, Labro disse que no Windows 7 e Windows Server 2008, ainda era possível carregar DLLs personalizados que funcionavam com privilégios de nível DE SISTEMA.
Problema descoberto e divulgado acidentalmente
Mas enquanto a maioria dos pesquisadores de segurança relatam graves problemas de segurança como esses para a Microsoft em particular, quando os encontram, no caso de Labro, isso foi tarde demais.
Labro disse que descobriu o zero-dia depois que ele lançou uma atualização para o PrivescCheck, uma ferramenta para verificar as configurações erradas de segurança do Windows comuns que podem ser abusadas por malware para a escalada de privilégios.
A atualização, lançada no mês passado, adicionou suporte a um novo conjunto de verificações para técnicas de escalonamento de privilégios.
Labro disse que não sabia que as novas verificações estavam destacando um novo e não reparado método de escalada de privilégios até que ele começou a investigar uma série de alertas aparecendo em sistemas mais antigos como o Windows 7, dias após o lançamento.
Naquela época, já era tarde demais para o pesquisador relatar o problema à Microsoft em particular, e o pesquisador optou por blogar sobre o novo método em seu site pessoal.
A ZDNet entrou em contato com a Microsoft para comentar hoje, mas o fabricante do SO não forneceu uma declaração oficial antes da publicação deste artigo.
Tanto o Windows 7 quanto o Windows Server 2008 R2 chegaram oficialmente ao fim da vida útil (EOL) e a Microsoft parou de fornecer atualizações de segurança gratuitas. Algumas atualizações de segurança estão disponíveis para usuários do Windows 7 através do programa de suporte pago ESU (Extended Support Updates) da empresa, mas um patch para este problema ainda não foi lançado.
Não está claro se a Microsoft corrigirá o novo dia zero da Labro; no entanto, a ACROS Security já montou um micro-patch, que a empresa lançou hoje cedo. O micro-patch é instalado através do software de segurança 0patch da empresa e impede que atores mal-intencionados explorem o bug através do patch não oficial da ACROS.
FONTE: ZDNET