Pesquisador encontrou acidentalmente bug de dia 0 no Windows 7 e Windows Servidor 2008

0-day bug in Windows 7

O pesquisador francês de segurança cibernética Clément Labro estava trabalhando em uma ferramenta de segurança quando descobriu que o Windows 7 e Windows Servidor 2008 R2 estavam vulneráveis ​​a um bug de escalonamento de privilégios locais de 0 dia.

O especialista escreve que a vulnerabilidade está em duas chaves de registro configuradas incorretamente para RPC Endpoint Mapper e DNSCache, que fazem parte de todas as instalações do Windows:

  • HKLMSYSTEMCurrentControlSetServicesRpcEptMapper
  • HKLMSYSTEMCurrentControlSetServicesDnscache

Por exemplo, um invasor que já entrou no sistema pode alterar essas chaves de forma a ativar a subchave usada para Monitoramento de Desempenho do Windows.

Este mecanismo é usado para monitorar o desempenho de aplicativos, e também permite que os desenvolvedores carreguem seus próprios arquivos DLL para monitorar seu desempenho usando ferramentas especiais.

Embora as versões mais recentes do Windows normalmente carreguem DLLs com privilégios limitados, Windows 7 e Windows Servidor 2008 ainda pode carregar DLLs personalizadas que eventualmente serão executadas com privilégios SYSTEM.escreve Clément Labro.

A maioria dos pesquisadores relata, de forma privada, sérios problemas de segurança à Microsoft assim que são descobertos, mas no caso de Labro, era tarde demais. O fato é que o pesquisador encontrou o problema após lançar uma atualização para sua ferramenta PrivescCheck, que é usado para identificar configurações incorretas de segurança do Windows (eles podem ser abusados ​​por malware para elevar privilégios).

Por isso, um novo conjunto de verificações para métodos de escalonamento de privilégios foi adicionado à atualização do PrivescCheck. Labro escreve que não percebeu na época que essas verificações revelavam um novo, maneira sem correção de elevar privilégios.

Depois de alguns dias após o lançamento comecei a analisar os estranhos avisos que apareciam em sistemas mais antigos como o Windows 7. Infelizmente, era tarde demais para relatar o problema em particular, então acabei de divulgar os detalhes da vulnerabilidade que encontrei no meu blog.disse Clément Labro.

Desde o suporte para Windows 7 e Windows Servidor 2008 R2 há muito tempo foi descontinuado, A Microsoft parou de lançar atualizações de segurança para esses sistemas operacionais. Algumas atualizações ainda estão disponíveis para Windows 7 usuários por meio do ESU pago (Atualizações de suporte estendido) programa, mas alguma solução para o problema que Labro encontrou lá também.

Até aqui, apenas um micropatch não oficial da Acros Security, que desenvolve 0pach, está disponível para usuários de sistemas operacionais mais antigos. Deixe-me lembrá-lo que 0patch é uma plataforma projetada apenas para tais situações, como corrigir vulnerabilidades de dia 0 e outras vulnerabilidades não corrigidas, para oferecer suporte a produtos que não são mais suportados pelos fabricantes, Software personalizado, e assim por diante.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *