Podría crear nuevas cuentas con todos los derechos de usuario
El equipo Project Zero de Google ha hecho públicos los detalles de una vulnerabilidad de seguridad de día cero parcheada incorrectamente en la API de cola de impresión de Windows que podría ser aprovechada por un mal actor para ejecutar código arbitrario.
Los detalles de la falla no parcheada se revelaron públicamente después que Microsoft no lo corrigió dentro de los 90 días posteriores a la divulgación responsable el 24 de septiembre.
Originalmente rastreada como CVE-2020-0986, la falla se refiere a un exploit de elevación de privilegios en la API GDI Print/Print Spooler ("splwow64.exe") que fue reportado a Microsoft por un usuario anónimo que trabaja con Zero Day Initiative de Trend Micro (ZDI) a finales de diciembre de 2019.
Pero sin un parche a la vista durante unos seis meses, ZDI terminó publicando un aviso público como día cero el 19 de mayo a principios de este año, después de lo cual fue explotado en la naturaleza en una campaña denominada "Operación PowerFall" contra una empresa surcoreana anónima.
"splwow64.exe" es un sistema binario central de Windows que permite que las aplicaciones de 32 bits se conecten con el servicio de cola de impresión de 64 bits en sistemas Windows de 64 bits. Implementa un servidor de llamada a procedimiento local (LPC) que pueden utilizar otros procesos para acceder a las funciones de impresión.
La explotación exitosa de esta vulnerabilidad podría provocar que un atacante manipulara la memoria del proceso "splwow64.exe" para lograr la ejecución de código arbitrario en modo kernel, para finalmente usarlo para instalar programas maliciosos; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario.
Sin embargo, para lograr esto, el adversario tendría primero que iniciar sesión en el sistema de destino en cuestión.
Aunque Microsoft finalmente abordó la deficiencia como parte de su actualización del martes de parches de junio, los nuevos hallazgos del equipo de seguridad de Google revelan que la falla no se ha corregido por completo.
"La vulnerabilidad todavía existe, sólo tuvo que cambiar el método de explotación", dijo en un artículo Maddie Stone, investigadora del Proyecto Cero de Google.
"El problema original era una desreferencia de puntero arbitraria que permitía al atacante controlar los punteros src y dest a una memoria", detalló Stone en Twitter. "La 'corrección' simplemente cambió los punteros a compensaciones, lo que aún permite el control de los argumentos de la memoria".
In May, Kaspersky (@oct0xor) discovered CVE-2020-0986 in Windows splwow64 was exploited itw as a 0day. Microsoft released a patch in June, but that patch didnt fix the vuln. After reporting that bad fix in Sept under a 90day deadline, it's still not fixed. https://t.co/WDGNs3JGka
— Maddie Stone (@maddiestone) December 23, 2020
Se espera que Microsoft resuelva la falla recientemente informada de elevación de privilegios, identificada como CVE-2020-17008, el 12 de enero de 2021, debido a "problemas identificados en las pruebas" después de prometer una solución inicial en noviembre.
Stone también ha compartido un código de explotación de prueba de concepto (PoC) para CVE-2020-17008, basado en un POC lanzado por Kaspersky para CVE-2020-0986.
"Ha habido demasiados casos este año de días cero que se sabe que se explotan activamente y se corrigen de forma incorrecta o incompleta", dijo Stone. "Cuando [en la naturaleza] los días cero no se corrigen por completo, los atacantes pueden reutilizar su conocimiento de las vulnerabilidades y explotar métodos para desarrollar fácilmente nuevos días cero".
