Zero-day no Windows 7 and Windows Server 2008 descoberto por acaso

Pesquisador descobriu vulnerabilidade após divulgar ferramenta de segurança com suporte a verificações de técnicas de escalada de privilégios

Um pesquisador francês de segurança descobriu acidentalmente uma vulnerabilidade zero-day que afeta os sistemas operacionais Windows 7 e Windows Server 2008 R2. A descoberta foi feita enquanto ele trabalhava na atualização de ferramenta de segurança do Windows.

A vulnerabilidade reside em duas chaves de registro configuradas incorretamente para os serviços RPC Endpoint Mapper e DNSCache, que fazem parte de todas as instalações do Windows:

  • HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper
  • HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache

O pesquisador francês Clément Labro, que descobriu o zero-day, diz que um invasor que tem acesso a um sistema vulnerável pode modificar essas chaves de registro para ativar uma subchave normalmente empregada pelo mecanismo Windows Performance Monitoring.

As subchaves de “desempenho” geralmente são empregadas para monitorar o desempenho de um aplicativo e, por causa de sua função, também permitem que os desenvolvedores carreguem seus próprios arquivos DLL para rastrear o desempenho usando ferramentas personalizadas.

Embora nas versões recentes do Windows, essas DLLs sejam geralmente restritas e carregadas com privilégios limitados, no Windows 7 e no Windows Server 2008 é possível carregar DLLs personalizadas que rodam com privilégios de nível de sistema.

Problema foi descoberto e divulgado por acidente. Geralmente, pesquisadores de segurança relatam problemas de segurança como esses diretamente para a Microsoft, em particular. No entanto, Labro disse que descobriu a vulnerabilidade depois de lançar uma atualização para PrivescCheck, uma ferramenta para verificar erros de configuração comuns de segurança do Windows que podem ser usados ​​por malware para escalada de privilégios. A atualização, lançada no mês passado, adicionou suporte para um novo conjunto de verificações para técnicas de escalada de privilégios. Labro disse que não sabia que as novas verificações identificavam um método de escalonamento de privilégios novo e sem patch até que ele começou a investigar uma série de alertas que apareciam em sistemas mais antigos como o Windows 7, dias após o lançamento.

Àquela altura, já era tarde demais para o pesquisador relatar o problema à Microsoft em particular, e o pesquisador optou por fazer um blog sobre o novo método em seu site pessoal. Até o momento, não foi identificado posicionamento oficial da Microsoft.

Tanto o Windows 7 quanto o Windows Server 2008 R2 alcançaram oficialmente o fim do ciclo de vida – e a Microsoft parou de fornecer atualizações de segurança gratuitas. Algumas atualizações de segurança estão disponíveis para usuários do Windows 7 por meio do programa de suporte pago ESU (Extended Support Updates) da empresa, mas ainda não foi lançado um patch para o problema em questão.

Não está claro se a Microsoft irá corrigir a vulnerabilidade. Por outro lado, a ACROS Security já criou um micro-patch, o qual é instalado por meio do software de segurança 0patch. Caso você ainda use alguma das versões afetadas pelo Zero-Day, acesse o blog 0patch para aplicar o micro-patch.

Para saber mais, sugerimos uma visita à página sobre o zero-day no blog de Clément Labro.

Informações obtidas/adaptadas de https://www.zdnet.com/article/security-researcher-accidentally-discloses-windows-7-and-windows-server-2008-zero-day/ , https://www.techradar.com/news/if-youre-still-using-windows-7-download-this-patch-now e https://itm4n.github.io/windows-registry-rpceptmapper-eop/.