En menos de 48 horas, una investigadora divulgó una serie de pruebas de concepto (PoC) para distintas vulnerabilidades zero-day que afectan a distintos servicios de Microsoft. Se trata de un bug en el Administrador de Tareas de Windows 10, fallos que afectan a los servicios de Windows Error Reporting de Microsoft y de Internet Explorer 11 y, por si fuera poco, en las últimas horas publicó en GitHub el código de una nueva PoC que permite evadir el parche lanzado para mitigar una vulerabilidad que había sido corregida en abril de este año.

Vulnerabilidad zero-day en el Administrador de Tareas de Windows

Bajo el seudónimo de SandBoxEscaper, la investigadora independiente primero publicó el día martes en GitHub el código de una PoC para explotar una vulnerabilidad zero-day en Windows 10 que, según explica, reside en el Administrador de Tareas; un proceso conocido en inglés como Task Sheduler. Se trata de una vulnerabilidad que permite escalar privilegios y que habilitaría a un atacante a ejecutar código con privilegios de administrador en las máquinas comprometidas hasta incluso permitir tomar control total del equipo.

Un atacante puede utilizar archivos .job malformados que aprovechan el fallo y les permite obtener privilegios en el sistema y hasta alcanzar niveles de administrador, lo cual permitiría a un intruso acceder a todo el sistema. Para demostrar esto, SandboxEscaper publicó un video que muestra la prueba de concepto en acción.

Vulnerabilidades zero day en Internet Explorer 11 y en el servicio de Informe de Errores

Además de la vulnerabilidad zero-day en el Administrador de Tareas, la investigadora reveló que descubrió cuatro vulnerabilidades zero-day más. Horas más tarde, publicó detalles de las siguientes vulnerabilidades.

En el caso del fallo que afecta al servicio de Informe de Errores, conocido en inglés como Windows Error Reporting, el bug puede ser explotado mediante el uso de listas de Control de Acceso Discrecional (DACL, por sus siglas en inglés)”, el cual consiste en un mecanismo que permite identificar a usuarios y grupos que tienen permisos asignados o negados por motivos de seguridad. En caso de una explotación exitosa, un atacante puede borrar o editar cualquier archivo de Windows, incluyendo ejecutables de sistema, explicó SandBoxEscaper en GitHub.

La investigadora independiente nombró a esta vulnerabilidad como “AngryPolarBearBug2”, ya que el año pasado había descubierto otro fallo en el mismo servicio de Windows que había nombrado “AngryPolarBearBug” y que permitía a un atacante sin privilegios sobrescribir cualquier archivo del sistema. Además, la propia investigadora explica que se trata de una vulnerabilidad que no es fácil de explotar.

Sin embargo, según explicó Microsoft al medio Zdnet, este bug fue parcheado hace una semana con el lanzamiento de las actualizaciones de seguridad correspondientes al mes de mayo de 2019, la cual tiene como referencia la CVE-2019-0863. Según explica el medio, este fallo había sido reportado, por lo que los detalles publicados recientemente por la investigadora se tratan del código para explotrar una vulnerabilidad que ya se parcheó.

En el caso de la vulnerabilidad que afecta a Internet Explorer 11, además del código de la prueba de concepto y de un breve video que muestra la PoC en acción, no hay muchos detalles de esta zero-day. Según explica SandBoxEscaper en GitHub, esta vulnerabilidad permitiría a un atacante inyectar código malicioso en el navegador debido a un error en la forma en que interpreta un archivo DLL malicioso.

Nuevo PoC permite evadir parche para vulnerabilidad CVE-2019-0841

Por último, en el día de hoy SandBoxEscaper publicó los detalles del código de una nueva PoC que explotar la vulnerabilidad CVE-2019-0841 que había sido parcheada en abril. Trabajando sobre el mismo concepto de escalar privilegios a partir de cambiar los permisos de acceso de ciertos archivos, el código divulgado permite evadir el reciente parche, por lo que la vulnerabilidad continúa siendo explotable.

Antecedentes

No es la primera vez que SandBoxEscaper divulga vulnerabilidades zero-day que afectan a Windows. En 2018 la investigadora publicó el hallazgo de cuatro vulnerabilidades, y una de ellas fue explotada en una campaña del grupo PowerPool a los pocos días de haber sido divulgada.

Estas nuevas vulnerabilidades salieron a la luz poco después de que Microsoft lanzara el paquete de actualizaciones de seguridad que publica mensualmente, por lo que los usuarios deberán esperar al próximo mes para nuevos parches.