Windows Zero-Day sin parches explotado en la naturaleza para escapar de la zona de pruebas - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Windows Zero-Day sin parches explotado en la naturaleza para escapar de la zona de pruebas

Hola, un placer verte por aquí. Te escribe Eduardo Arroyo y hoy hablaremos sobre Windows Zero-Day sin parches explotado en la naturaleza para escapar de la zona de pruebas

Windows Zero-Day sin parches explotado en la naturaleza para escapar de la zona de pruebas

Google Project Zero reveló el error antes de que Microsoft dispusiera de un parche.

Un error de controlador de Windows de alta gravedad se explota en la naturaleza como día cero. Habilita la escalada de privilegios locales y el escape de la zona de pruebas.

La vulnerabilidad de seguridad fue revelado de Google Project Zero solo siete días después de que se informó, ya que los ciberdelincuentes ya lo están explotando, según los investigadores.

La falla (CVE-2020-17087) tiene que ver con la forma en que el controlador de cifrado del kernel de Windows (cng.sys) procesa el control de entrada / salida (IOCTL), que es una llamada del sistema para operaciones entrada / salida específica del dispositivo y otras operaciones que no pueden expresarse mediante llamadas normales al sistema.

«[Cng.sys] expone un dispositivo Dispositivo CNG a programas en modo de usuario y admite una variedad de IOCTL con estructuras de entrada no triviales «, según el informe de error, publicado el viernes». Hemos identificado una vulnerabilidad en el procesamiento de IOCTL 0x390400, accesible a través de [a] serie de llamadas. «

Con solicitudes especialmente diseñadas, un atacante puede desencadenar un desbordamiento de búfer basado en un grupo, lo que provoca un bloqueo del sistema y abre la puerta a la explotación.

«El error reside en la función cng! CfgAdtpFormatPropertyBlock y es causado por un problema de truncamiento de enteros de 16 bits», explicó el equipo de Project Zero. «Todo el desbordamiento se produce en la línea 2 y si SourceLength es igual o superior a 0x2AAB, el NonPagedPool asigna un búfer insuficientemente pequeño en la línea 3. Posteriormente, el ciclo de conversión binario a hexadecimal de las líneas 5 a 10 lo supera para un múltiplo de 65536 bytes «.

El equipo ha elaborado un exploit de prueba de concepto que muestra la facilidad de desencadenar un ataque. Funcionó en una versión actualizada de Windows 10 1903 (64 bits), pero los investigadores dijeron que el error parece afectar a las versiones de Windows que se remontan a Windows 7.

«Un bloqueo es más fácil de reproducir con grupos especiales habilitados para cng.sys, pero incluso en la configuración predeterminada, la corrupción de 64kB de datos del kernel probablemente bloqueará el sistema inmediatamente después de ejecutar el exploit», según Project Zero.

El director del Grupo de Análisis de Amenazas de Google, Shane Huntley, dijo en la divulgación que los ataques son dirigidos y no están relacionados con ningún objetivo relacionado con las elecciones en Estados Unidos. Otro miembro del equipo de Project Zero señaló que se espera que Microsoft solucione el error en la próxima actualización del martes de parches, el 10 de noviembre.

Algunos se han peleado por el breve momento de la divulgación, pero los investigadores del Proyecto Cero Ben Hawkes y Tavis Ormandy defendieron la medida en Twitter:

La conclusión rápida: creemos que compartir estos detalles tiene una utilidad defensiva, y los ataques oportunistas que utilicen estos detalles desde ahora hasta que se publique el parche son bastante improbables (hasta ahora se ha utilizado como parte de una cadena de exploits y ‘el ataque de punto de entrada está arreglado)

– Ben Hawkes (@benhawkes) 30 de octubre de 2020

Ormandía notado, «Es más probable que se detecte su ataque si intenta utilizar vulnerabilidades documentadas, porque la gente sabe qué buscar. Los otros detalles de su ataque serán luego analizados».

Mateusz Jurczyk y Sergei Glazunov de Google Project Zero han sido acreditados por encontrar el error.

.

Deberías compartir en en tu Twitter y Facebook para que tus colegas lo disfruten

??? ? ? ???

Comparte