Hace poco más de un mes, el twittero y hacker SandboxEscaper descubrió una vulnerabilidad desconocida de Windows 10, y en lugar de comunicarla a la compañía de Redmond, la publicó en Twitter con una actitud muy apática y depresiva, expresando "ya no me importa una mierda la vida".
Ahora, tras descubrir otra vulverabilidad zero-day o de día cero, SandboxEscaper ha vuelto a hacer lo mismo que hizo con la de Windows 10. Asegura que la vulnerabilidad, que es de nivel bajo y algo complicada de aprovechar, aún no ha sido corregida por Microsoft. Según han confirmado a ZDNet expertos que han hecho uso de la prueba de concepto, esta zero-day sólo afecta a Windows 10 en todas sus versiones, Windows Server 2016 y Windows Server 2019.
https://t.co/1Of8EsOW8z Here's a low quality bug that is a pain to exploit.. still unpatched. I'm done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.
— SandboxEscaper (@SandboxEscaper) October 23, 2018
.
Que no funcione en sistemas anteriores se debe, según Will Dormann de CERT/CC, a que el archivo dssvc.dll, que corresponde al Servicio de uso compartido de datos, no se encuentra en Windows 8 y versiones anteriores.
Una zero-day de poco riesgo
Con la vulnerabilidad descubierta, lo que puede hacer quien se aproveche de ella es elevar sus privilegios de usuario, y con ello, eliminar archivos que de otra manera estarían más protegidos por el sistema. Eso sí, para que los hackers puedan hacer uso del zero-day, necesitan contar con acceso al ordenador de antemano.
Btw, once @SandboxEscaper's deletebug.exe deletes pci.sys on the computer, you can no longer restart it so make sure you test on a virtual machine that you can revert to a state before you ran deletebug.exe. pic.twitter.com/bsQ2NNVnXS
— Mitja Kolsek (@mkolsek) October 23, 2018
El mayor riesgo es que además de producir mal funcionamiento por el borrado de archivos críticos, también se puede aprovechar para infectar máquinas sustituyendo esos archivos por otros modificados. Mitja Kolsek, CEO de ACROS Security recomienda probar la vulnerabilidad en máquinas virtuales, pues de otra manera, por el borrado de archivos de la prueba de concepto, el sistema no vuelve a iniciarse correctamente.
Ya existe partche
La compañía de Kolsek, siete horas después de la publicación de la zero-day, ya tiene un microparche que bloquea la vulnerabilidad y deniega el acceso mediante suplantación. Así, el borrado se bloquea y los archivos quedan a salvo.
7 hours after the 0day in Microsoft Data Sharing Service was dropped, we have a micropatch candidate that successfully blocks the exploit by adding impersonation to the DeleteFileW call. As you can see, the Delete operation now gets an "ACCESS DENIED" due to impersonation. pic.twitter.com/qoQgMqtTas
— 0patch (@0patch) October 23, 2018
De momento se trata de un parche candidato, pero tiene que ser probado más a fondo para asegurar estabilidad y buen rendimiento. Asimismo, están trabajando en que funcione en todas las versiones de Windows afectadas. Microsoft no ha hecho ningún comunicado, y es de esperar que en una versión próxima o actualización se incluya un parche completo contra la vulnerabilidad, como se hico con el otro descubrimiento de SandboxEscaper.
Ver 7 comentarios