Un microparche gratuito que soluciona una vulnerabilidad de escalada de privilegios locales (LPE) en la herramienta de administración Windows PsExec de Microsoft ahora está disponible a través de la plataforma 0patch.
PsExec es un reemplazo de telnet totalmente interactivo que permite a los administradores del sistema ejecutar programas en sistemas remotos. La herramienta PsExec también está integrada y utilizada por herramientas empresariales para iniciar ejecutables de forma remota en otras computadoras.
Este día cero de PsExec es causado por una vulnerabilidad de secuestro de canalización con nombre (también conocida como okupación de canalización con nombre) que permite a los atacantes engañar a PsExec para que vuelva a abrir una canalización con nombre creada maliciosamente y otorgarle permisos del sistema local.
Después de explotar con éxito el error, los actores de amenazas podrán ejecutar procesos arbitrarios como Sistema Local, lo que les permitirá hacerse cargo de la máquina.
Cualquier computadora con Windows donde «los administradores ejecuten de forma remota el uso de PsExec (o herramientas de administración que utilizan PsExec) si la máquina ya tiene un atacante que no es administrador tratando de elevar sus privilegios» es vulnerable a los ataques que intentan explotar este día cero como seguridad ACROS El CEO y cofundador de 0patch, Mitja Kolsek, explica .
Afecta a las versiones de PsExec lanzadas durante los últimos 14 años
El investigador de malware de Tenable, David Wells, descubrió la vulnerabilidad y la reveló públicamente el 9 de diciembre de 2020, 90 días después de que Microsoft fue informado y no pudo corregir el error.
«Esta escalada de privilegios local permite que un proceso que no es de administración escale a SYSTEM si PsExec se ejecuta local o remotamente en la máquina de destino», explica Wells .
Mientras investigaba la vulnerabilidad y creaba una prueba de concepto, Wells pudo confirmar que la palabra cero afecta a múltiples versiones de Windows desde Windows XP hasta Windows 10.
También descubrió que afecta a varias versiones de PsExec, comenzando con la v1.72 lanzada en 2006 y terminando con PsExec v2.2, la última versión lanzada hace casi cuatro años, lo que significa que el día cero afecta a todas las versiones de PsExec lanzadas durante la última 14 años.
A continuación se incluye una demostración en video que muestra cómo el microparche lanzado por 0patch evita la explotación de este día cero en sistemas Windows que ejecutan PsExec.
Micropatch solo se aplica a la última versión de PsExec
Kolsek dice que el microparche gratuito lanzado hoy se entrega en la memoria y no requiere reiniciar el sistema.
Se aplica a la última versión de PsExec de 32 bits y 64 bits, pero podría ser transferida a versiones anteriores de PsExec dependiendo de los comentarios de los usuarios, como Kolsek tuiteó hoy.
«Esta vulnerabilidad permite a un atacante que ya puede ejecutar código en su computadora remota como no administrador (p. Ej., Iniciando sesión como usuario regular de Terminal Server, o estableciendo una sesión RDP como usuario de dominio, o ingresando a un servicio vulnerable sin privilegios ejecutándose en la computadora remota) para elevar sus privilegios al Sistema local y tomar el control por completo de la máquina tan pronto como alguien use PsExec contra esa máquina «, dijo Kolsek.
«Para los usuarios domésticos y las pequeñas empresas, esto probablemente no sea una amenaza de alta prioridad, mientras que para las grandes organizaciones puede serlo».
