Vulnerabilidad día cero en Windows permite escalada de privilegios

La falla, aún sin parchear, permite a un atacante eliminar cualquier tipo de archivo en una máquina, incluidos los datos del sistema

Un investigador de ciberseguridad y forense digital ha publicado una prueba de concepto para una vulnerabilidad día cero en Windows funcional en máquinas con Windows 10 completamente parcheadas. Explotar la vulnerabilidad permitiría a un atacante eliminar cualquier tipo de archivo en el equipo de la víctima, incluidos los datos del sistema.

El bug (aún no se le ha asignado clave CVE, pues acaba de ser descubierta) es una vulnerabilidad día cero de escalada de privilegios en Microsoft Data Sharing Services (dssvc.dll). Este es un servicio local que se ejecuta como una cuenta de LocalSystem con amplios privilegios, y permite que los datos sean distribuidos entre aplicaciones.

Según el experto que publicó la prueba de concepto, el error permite a los usuarios maliciosos eliminar bibliotecas de aplicaciones (archivos DLL), lo que significa que las aplicaciones afectadas buscarán sus bibliotecas en otros lugares. Si una aplicación encuentra su camino hacia una ubicación de escritura para el usuario, le da al atacante la oportunidad de cargar su propia biblioteca maliciosa, poniendo en riesgo la información almacenada en la máquina.

Mitja Kolsek, especialista en forense digital, detalló el potencial de esta vulnerabilidad. “Incluso un usuario con pocos privilegios puede realizar una solicitud a este servicio para una función no documentada, y esta función verifica si el usuario solicitante tiene permisos para crear un archivo en una ubicación”, explicó. “Para hacerlo, suplanta al usuario que lo solicita, intenta crear un archivo vacío, recuerda si la creación del archivo se realizó correctamente y luego lo elimina”.

Por lo tanto, la vulnerabilidad puede abrir la puerta a una serie de actividades maliciosas. “Esto podría ser explotado para facilitar el movimiento lateral dentro de una organización o incluso con fines potencialmente destructivos, como la eliminación de archivos clave del sistema, haciendo que un sistema sea inoperable”, mencionó Tom Parsons, experto en ciberseguridad.

En la prueba de concepto, un programa denominado “Deletebug.exe”, elimina un archivo del sistema de la computadora atacada, lo que significa que un usuario ya no puede reiniciarla. Por lo tanto, la máquina se vuelve completamente inoperante.

“Lo que hace la prueba de concepto, en términos sencillos, es que llama a la función en Data Sharing Service, que le indica que realice una operación en el archivo pci.sys en alguna carpeta temporal y espera que este archivo sea creado. Luego, remonta rápidamente dicho archivo a pci.sys en la carpeta del sistema (donde el usuario no podría eliminarlo)”, explicó Kolsec. “Como resultado, el archivo del sistema se elimina”.

Will Dormann, analista de vulnerabilidades en CERT/CC, en conjunto con Mitja Kolsec, pudieron confirmar la presencia de la vulnerabilidad y posteriormente explotarla en máquinas Windows 10  que contaban con todos los parches y aplicaciones disponibles. A través de Twitter, Dormann agregó que Data Sharing Service no parece estar presente en Windows 8.1 y sistemas anteriores.

Expertos en forense digital del Instituto Internacional de Seguridad Cibernética pudieron confirmar que la vulnerabilidad sólo funciona en Windows 10 y Server 2016 y 2019. Además informan que el bug permite que los usuarios que no son administradores eliminen cualquier archivo abusando de un nuevo servicio de Windows que no verifica ningún permiso previamente concedido.

Aunque Microsoft aún no ha emitido declaración alguna respecto a esta vulnerabilidad, un microparche de la organización 0Patch ha demostrado ser efectivo para bloquear con éxito la vulnerabilidad, generando un mensaje de ACCESO DENEGADO ante cualquier intento de suplantación de usuario.

En septiembre pasado también fue descubierta una vulnerabilidad día cero en Task Scehduler de Microsoft. La empresa parcheó la vulnerabilidad unos días después.