Google revela una vulnerabilidad de seguridad sin parches en Windows 8.1
3 minuto. leer
Publicado el
Compartir este artículo
Mejorar esta guía
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
Un investigador de Google ha revelado una vulnerabilidad de seguridad sin parches en Windows 8.1. El investigador de Google ha publicado este error en la página de investigación de seguridad de Google y está sujeto a un plazo de divulgación de 90 días. Si transcurren 90 días sin que haya un parche ampliamente disponible, el informe de errores se hará visible automáticamente para el público. No hay información sobre si Microsoft reconoció el error o si están trabajando en ello. Pero creo que es un movimiento irresponsable de Google publicar una vulnerabilidad en productos como Windows 8 que millones de personas utilizan todos los días.
Se publicó la siguiente información sobre el error,
En la actualización de Windows 8.1, la llamada al sistema NtApphelpCacheControl (el código está realmente en ahcache.sys) permite almacenar en caché los datos de compatibilidad de aplicaciones para reutilizarlos rápidamente cuando se crean nuevos procesos. Un usuario normal puede consultar la memoria caché, pero no puede agregar nuevas entradas en la memoria caché, ya que la operación está restringida a los administradores. Esto se comprueba en la función AhcVerifyAdminContext.
Esta función tiene una vulnerabilidad en la que no verifica correctamente el token de suplantación de identidad de la persona que llama para determinar si el usuario es un administrador. Lee el token de suplantación de la persona que llama usando PsReferenceImpersonationToken y luego hace una comparación entre el SID del usuario en el token con el SID de LocalSystem. No verifica el nivel de suplantación del token, por lo que es posible obtener un token de identificación en su hilo desde un proceso del sistema local y omitir esta verificación. Para este propósito, PoC abusa del servicio BITS y COM para obtener el token de suplantación, pero probablemente haya otras formas.
Solo se trata de encontrar una manera de explotar la vulnerabilidad. En el PoC, se crea una entrada de caché para un ejecutable de elevación automática de UAC (por ejemplo, ComputerDefaults.exe) y se configura la memoria caché para que apunte a la entrada de compatibilidad de la aplicación para regsvr32, lo que obliga a un RedirectExe shim a recargar regsvr32.exe. Sin embargo, se podría usar cualquier ejecutable, el truco sería encontrar una configuración de compatibilidad de aplicación preexistente adecuada para abusar.
No está claro si Windows 7 es vulnerable ya que la ruta del código para la actualización tiene una verificación de privilegios de TCB (aunque parece que, dependiendo de las banderas, esto podría pasarse por alto). No se ha hecho ningún esfuerzo para verificarlo en Windows 7. NOTA: Esto no es un error en UAC, solo está usando la elevación automática de UAC con fines de demostración.
El PoC se probó en la actualización de Windows 8.1, en las versiones de 32 y 64 bits. Recomendaría ejecutar en 32 bits solo para estar seguro. Para verificar realice los siguientes pasos:
1) Coloque AppCompatCache.exe y Testdll.dll en el disco
2) Asegúrese de que UAC esté habilitado, que el usuario actual sea un administrador de token dividido y que la configuración de UAC sea la predeterminada (no se solicitan archivos ejecutables específicos).
3) Ejecute AppCompatCache desde el símbolo del sistema con la línea de comando "AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll".
4) Si tiene éxito, la calculadora debería aparecer ejecutándose como administrador. Si no funciona la primera vez (y obtiene el programa ComputerDefaults), vuelva a ejecutar el exploit desde 3, parece que a veces hay un problema de almacenamiento en caché/tiempo en la primera ejecución.
