Windows

Los investigadores han lanzado un exploit de prueba de concepto (PoC) para una vulnerabilidad de escalamiento de privilegios local de Windows, explotada activamente como parte de los parches de mayo de 2023.

El subsistema Win32k (controlador de kernel Win32k.sys) administra el administrador de ventanas, la salida de pantalla, la entrada y los gráficos del sistema operativo, y actúa como una interfaz entre varios tipos de hardware de entrada.

Como tal, explotar este tipo de vulnerabilidades tiende a proporcionar privilegios elevados o ejecución de código.

La vulnerabilidad, identificada como CVE-2023-29336, fue descubierta originalmente por la firma de ciberseguridad Avast. Se le asignó una calificación de gravedad CVSS v3.1 de 7.8, ya que permite a los usuarios con pocos privilegios obtener privilegios de SYSTEM de Windows, los privilegios de modo de usuario más altos en Windows. Avast dice que descubrieron la vulnerabilidad después de que se explotara activamente como un Zero-Day en los ataques.

Para generar conciencia sobre la falla explotada activamente y la necesidad de aplicar actualizaciones de seguridad de Windows, CISA también publicó una alerta y la agregó a su catálogo de «Vulnerabilidades conocidas explotadas».

Exactamente un mes después de que el parche estuvo disponible, los analistas de seguridad de la firma de ciberseguridad Web3 Numen han publicado detalles técnicos completos sobre la falla CVE-2023-29336 y un exploit PoC para Windows Server 2016.

Microsoft dice que solo afecta a las versiones anteriores de Windows, incluidas las versiones anteriores de Windows 10, Windows Server y Windows 8, y no afecta a Windows 11.

«Si bien esta vulnerabilidad parece no ser explotable en la versión del sistema Win11, representa un riesgo significativo para los sistemas anteriores», explica Numen en su informe. «La explotación de tales vulnerabilidades tiene un historial notorio, y en este análisis profundizamos en los métodos empleados por los actores de amenazas para explotar esta vulnerabilidad específica, teniendo en cuenta la evolución de las medidas de mitigación».

Al analizar la vulnerabilidad en Windows Server 2016, los investigadores de Numen descubrieron que Win32k solo bloquea el objeto de ventana pero no bloquea el objeto de menú anidado. Esta omisión, que según los investigadores resulta de la copia de código obsoleto a versiones más nuevas de Win32k, deja los objetos del menú vulnerables a la manipulación o secuestro si los atacantes alteran la dirección específica en la memoria del sistema.

Tomar el control del objeto de menú significa obtener el mismo nivel de acceso que el programa que lo lanzó, pero incluso si el primer paso no otorga a los atacantes privilegios de nivel de administrador, es un trampolín efectivo para ayudar a lograrlo a través de los pasos posteriores.

Los investigadores experimentaron con varios métodos de manipulación del diseño de la memoria y finalmente desarrollaron un PoC funcional que produciría una elevación confiable a los privilegios de System.

Fuente y redacción: seguinfo.com.ar

Compartir