miércoles, 14 de enero de 2015

Investigador de Google revela Vulnerabilidad Zero-Day de Windows 8.1




Un investigador de seguridad de Google, 'James Forshaw' ha descubierto una vulnerabilidad de elevación de privilegios en Windows 8.1 que podría permitir a un hacker modificar el contenido o incluso apoderarse de ordenadores de las víctimas por completo, dejando a millones de usuarios vulnerables.
El investigador también proporcionó una prueba del programa concepto (PoC) de la vulnerabilidad. Forshaw dice que ha probado el PoC sólo en un 8.1 de Windows actualizado y que no está claro si las versiones anteriores, específicamente Windows 7, son vulnerables.

Forshaw desenterró el fallo en septiembre de 2014 y con ello notificado en la lista de correo de Investigación de Seguridad Google acerca del fallo el 30 de septiembre. Ahora, después de 90 días plazo de divulgación de la vulnerabilidad y la Prueba de Concepto programa fue hecho público el miércoles.
La vulnerabilidad reside en la función AhcVerifyAdminContext, una función interna y no una API pública que en realidad comprueba si el usuario es un administrador.


"Esta función tiene una vulnerabilidad en la que no comprueba correctamente el testigo de suplantación de la persona que llama para determinar si el usuario es un administrador," Forshaw escribió en la lista de correo. "Se lee testigo de suplantación de la persona que llama utilizando PsReferenceImpersonationToken y luego hace una comparación entre el usuario SID en el token para el SID de LocalSystem."

"No comprueba el nivel de suplantación de la señal por lo que es posible obtener un token de identificar en su hilo de un proceso del sistema local y por esta comprobación. Para ello, los abusos PoC el servicio BITS y COM para obtener el token de suplantación pero hay probablemente otras maneras ".


El PoC contiene dos archivos de programa y un conjunto de instrucciones para ejecutar los archivos que, de tener éxito, finalmente resultan en la calculadora de Windows en ejecución como administrador. Según el investigador, la vulnerabilidad no está en control de cuentas de usuario de Windows (UAC) en sí, pero UAC se utiliza en parte para demostrar el error.

Forshaw probó el PoC en Windows 8.1 actualización, las versiones de 32 bits y 64 bits, y se recomienda a los usuarios ejecutar el PoC en 32 bits. Para verificar realice los siguientes pasos:
Ponga el AppCompatCache.exe y testdll.dll en el disco

Asegúrese de que UAC está habilitado, el usuario actual es un administrador-split token y la configuración de UAC es el valor por defecto (sin preguntar para ejecutables específicos).

Ejecutar AppCompatCache desde el símbolo del sistema con la línea de comandos "AppCompatCache.exe c: \ windows \ system32 \ ComputerDefaults.exe testdll.dll".
Si tiene éxito entonces la calculadora debe aparecer corriendo como administrador. Si no funciona la primera vez (y se obtiene el programa ComputerDefaults) Vuelva a ejecutar el exploit, parece que hay un problema de caché / tiempo a veces en la primera ejecución.

Un portavoz de Microsoft confirma la vulnerabilidad y dice que ya está trabajando en una solución:
"Estamos trabajando para liberar una actualización de seguridad para hacer frente a una elevación de cuestión de privilegio. Es importante tener en cuenta que para que un aspirante a atacante potencialmente explotar un sistema, ellos primero deben tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión en localmente a un equipo de destino. Animamos a los clientes a mantener actualizado el software antivirus actualizado, instalar todas las actualizaciones de seguridad disponibles y activar el firewall en su ordenador ".


En el momento de publicar este artículo, no hay parche disponible y todos los sistemas de Windows 8.1 son vulnerables a los hackers.