Expertos revelan exploit para vulnerabilidad de Windows que está siendo explotada activamente
Investigadores han lanzado un exploit de prueba de concepto (PoC) para una vulnerabilidad de escalada de privilegios locales de Win32k explotada activamente como parte del martes de parches de mayo de 2023.
El subsistema Win32k (controlador de kernel Win32k.sys) administra el administrador de ventanas, la salida de pantalla, la entrada y los gráficos del sistema operativo, y actúa como una interfaz entre varios tipos de hardware de entrada.
Como tal, explotar este tipo de vulnerabilidades tiende a proporcionar privilegios elevados o ejecución de código.
La vulnerabilidad identificada como CVE-2023-29336 fue descubierta originalmente por la firma de ciberseguridad Avast. Se le asignó una calificación de gravedad CVSS de 7.8, ya que permite a los usuarios con pocos privilegios obtener privilegios de SYSTEM en Windows. Los privilegios de SYSTEM son los privilegios de modo de usuario más altos en Windows.
Avast dice que descubrieron la vulnerabilidad después de que se explotara activamente como un día cero en los ataques. Sin embargo, la compañía se ha negado a compartir más detalles, por lo que no está claro cómo se abusó de ella.
Para generar conciencia sobre la vulnerabilidad explotada activamente y la necesidad de aplicar actualizaciones de seguridad de Windows, CISA también publicó una alerta y la agregó a su catálogo de “Vulnerabilidades conocidas explotadas”.
Exactamente un mes después de que el parche estuvo disponible, los analistas de seguridad de la firma de ciberseguridad Numen han publicado detalles técnicos completos sobre la vulnerabilidad CVE-2023-29336 y un exploit PoC para Windows Server 2016.
Redescubriendo la vulnerabilidad
Si bien la vulnerabilidad está siendo explotada activamente, Microsoft dice que solo afecta a las versiones anteriores de Windows. Esto incluye Windows 10, Windows Server y Windows 8, y no afecta a Windows 11.
“Si bien esta vulnerabilidad parece no ser explotable en la versión del sistema Windows 11, representa un riesgo significativo para los sistemas anteriores”.
“La explotación de tales vulnerabilidades tiene un historial notorio, y en este análisis en profundidad, ahondamos en los métodos empleados por los atacantes para explotar esta vulnerabilidad específica, teniendo en cuenta la evolución de las medidas de mitigación”.
Informe de Numen
Al analizar la vulnerabilidad en Windows Server 2016, los investigadores de Numen descubrieron que Win32k solo bloquea el objeto de ventana pero no bloquea el objeto de menú anidado.
Esta omisión, que según los investigadores resulta de la copia de código obsoleto a versiones más nuevas de Win32k, deja los objetos del menú vulnerables a la manipulación o secuestro. Esto ocurre si los atacantes alteran la dirección específica en la memoria del sistema.
Tomar el control del objeto menú significa obtener el mismo nivel de acceso que el programa que lo lanzó, pero incluso si el primer paso no otorga a los atacantes privilegios de nivel de administrador, es un trampolín efectivo para ayudar a lograrlo a través de los pasos posteriores.
Los investigadores experimentaron con varios métodos de manipulación del diseño de la memoria, disparadores de explotación y funciones del sistema de lectura/escritura de la memoria y finalmente desarrollaron un PoC funcional que produce una elevación confiable a los privilegios del SYSTEM.
Más detalles técnicos sobre este proceso están disponibles en el informe de Numen, y una demostración del PoC te la mostramos a continuación.
