Investigador descubre accidentalmente 0-day en Windows 7 y Server 2008 R2

Un investigador de seguridad francés descubrió accidentalmente una vulnerabilidad de día cero que afecta a los sistemas operativos Windows 7 y Windows Server 2008 R2 mientras trabajaba en una actualización de una herramienta de seguridad de Windows. Tanto Windows 7 como Windows Server 2008 R2 han alcanzado oficialmente el final de su vida útil (EOL)

• Un investigador de seguridad descubrió accidentalmente un día cero de Windows 7 y Windows Server 2008 mientras trabajaba en una herramienta de seguridad
• El problema se descubrió después de que se lanzara una actualización para la herramienta y el error se hiciera público

La vulnerabilidad reside en dos claves de registro mal configuradas para los servicios RPC Endpoint Mapper y DNSCache que forman parte de todas las instalaciones de Windows.

•    HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
•    HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Windows 0-day privilege escalation vulnerability
El investigador de seguridad francés Clément Labro, quien descubrió el día cero, dice que un atacante que tiene un punto de apoyo en sistemas vulnerables puede modificar estas claves de registro para activar una subclave generalmente empleada por el mecanismo de monitoreo de rendimiento de Windows.

• https://itm4n.github.io/windows-registry-rpceptmapper-eop/

Las subclaves de "rendimiento" se emplean generalmente para supervisar el rendimiento de una aplicación y, debido a su función, también permiten a los desarrolladores cargar sus propios archivos DLL para realizar un seguimiento del rendimiento mediante herramientas personalizadas.

Si bien en las versiones recientes de Windows, estos archivos DLL generalmente están restringidos y cargados con privilegios limitados, Labro dijo que en Windows 7 y Windows Server 2008, aún era posible cargar archivos DLL personalizados que se ejecutaban con privilegios de nivel de SISTEMA.

Problema descubierto y divulgado accidentalmente
Pero si bien la mayoría de los investigadores de seguridad informan a Microsoft en privado sobre problemas de seguridad graves como estos, cuando los encuentran, en el caso de Labro, era demasiado tarde.

Labro dijo que descubrió el día cero después de que lanzó una actualización de PrivescCheck, una herramienta para verificar las configuraciones erróneas de seguridad comunes de Windows que pueden ser abusadas por malware para escalar privilegios.

• https://github.com/itm4n/PrivescCheck

La actualización, lanzada el mes pasado, agregó soporte para un nuevo conjunto de verificaciones para técnicas de escalada de privilegios.

Labro dijo que no sabía que las nuevas comprobaciones estaban destacando un método de escalada de privilegios nuevo y sin parches hasta que comenzó a investigar una serie de alertas que aparecían en sistemas más antiguos como Windows 7, días después del lanzamiento.

En ese momento, ya era demasiado tarde para que el investigador informara el problema a Microsoft en privado, y el investigador optó por escribir en un blog sobre el nuevo método en su sitio personal.

Tanto Windows 7 como Windows Server 2008 R2 han alcanzado oficialmente el final de su vida útil (EOL) y Microsoft ha dejado de proporcionar actualizaciones de seguridad gratuitas. Algunas actualizaciones de seguridad están disponibles para los usuarios de Windows 7 a través del programa de soporte pagado ESU (Extended Support Updates) de la compañía, pero aún no se ha lanzado un parche para este problema.

No está claro si Microsoft parcheará el nuevo día cero de Labro; sin embargo, ACROS Security ya ha creado un microparche, que la compañía lanzó hoy. El micro-parche se instala a través del software de seguridad 0patch de la compañía y evita que los actores malintencionados exploten el error a través del parche no oficial de ACROS.

• https://blog.0patch.com/2020/11/0day-in-windows-7-and-server-2008-r2.html
  

Fuente:
https://www.zdnet.com/article/security-researcher-accidentally-discloses-windows-7-and-windows-server-2008-zero-day/