• 2 min de lectura
Aparece un zero-day de Windows mientras Microsoft distribuye un número récord de parches
Una nueva vulnerabilidad de escalada de privilegios en Windows surgió el mismo día que Microsoft lanzó un número récord de parches del Patch Tuesday, y aún no existe parche.

Imagen: Ars Technica
Apareció un nuevo zero-day de Windows el mismo día en que Microsoft publicó un número récord de parches, lo que ofrece a los atacantes una vía potencial para obtener, de facto, control a nivel de administrador sin ser administradores.
Will Dormann, analista principal sénior de vulnerabilidades en Tharros Labs, dijo que el problema es potente porque permite a un usuario no administrador modificar el hive de clases del registro de un usuario administrador.
“Si puedo configurar el sistema para que ejecute mi código cuando el usuario administrador inicie sesión,” el atacante tiene privilegios de administrador de facto. “No necesito ser administrador yo mismo.”
En una publicación, Dormann añadió que la capacidad es “un primitivo bastante potente”, y dijo que los atacantes probablemente podrían encontrar formas de usarlo para acciones más interesantes, potencialmente incluso sin interacción del usuario. También dijo que el exploit podría encadenarse con otro fallo que proporcione acceso directo a una cuenta administrativa.
Un analista distinto explicó el mecanismo subyacente de esta manera:

Recomendado
El hackeo a Suno expuso la cantidad de música que raspó
“Cuando un nuevo usuario inicia sesión, Windows necesita cargar el hive de clases del usuario. Dado que el usuario no ha iniciado sesión antes de iniciar sesión (tautología, lo sé), no puede cargarse en el contexto del usuario. Así que se carga en el contexto de NT AUTHORITY\\SYSTEM. LegacyHive explota esto.”
En un comunicado por correo electrónico, Microsoft dijo que conoce el informe de la vulnerabilidad y lo está investigando. La compañía también pidió a los investigadores que sigan un proceso de divulgación coordinada.
Por ahora, no se menciona parche en el informe. Los usuarios que quieran reducir el riesgo pueden:
- ejecutar un script de detección publicado por el investigador independiente Kevin Beaumont
- restringir la creación local de cuentas que no sean de usuario
- monitorizar ProfSvc en busca de cargas inesperadas de hive
- rastrear la actividad de NTUSER.DAT y UsrClass.dat
Eso deja a los defensores dependiendo de la monitorización y la detección mientras Microsoft investiga.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía Ars Technica


