Corregido (Julio 2019) importante Zero-Day en Windows

La pasada semana, Microsoft publicaba actualizaciones para 77 vulnerabilidades:

• Una elevación de privilegios en Azure, que ya era pública y otra elevación en Docker ya publicada, que ahora corrigen en su Azure Kubernetes Service.
• Un fallo de Cross Site Scripting en Outlook on the web (antiguo OWA).
• Un fallo crítico en el servidor DHCP.
• Dos problemas de ejecución de código en Excel.
• Un grave fallo ya conocido de ejecución de código en Miscrosoft SQL server.
• Un grave fallo en Remote Desktop Services.
• El famoso fallo en los certificados encontrado por Tavis Ormandy (SymCrypt)
• Dos elevaciones de privilegios encontradas ya siendo utilizadas por atacantes (CVE-2019-1132 | Win32k Elevation of Privilege Vulnerability)

Se ha descubrierto un exploit para un Zero-Day (CVE-2019-1132) que se aprovecha de una vulnerabilidad de escalada de privilegios local en Windows.
En junio de 2019, investigadores de ESET identificaron un exploit de una vulnerabilidad zero-day que estaba siendo utilizado en ataques altamente dirigidos en Europa.

El exploit abusa de una vulnerabilidad de escalada de privilegios local en Microsoft Windows, más específicamente una desreferencia de puntero NULL (nulo) en el componente win32k.sys. Una vez que se descubrió y analizó el exploit, se procedió a reportar el hallazgo al Centro de Respuesta de Seguridad de Microsoft, quien rápidamente reparó la vulnerabilidad y lanzó un parche (CVE-2019-1132). Los sistemas operativos vulnerables son:

• Windows 7 for 32-bit Systems Service Pack 1
• Windows 7 for x64-based Systems Service Pack 1
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for Itanium-Based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1

Al igual que con otras vulnerabilidades en Microsoft Windows win32k.sys reveladas en años recientes, este exploit utiliza objetos del tipo menú emergente. Por ejemplo, los exploit de escalada de privilegios local del grupo Sednit encontrada en 2017 utilizaron objetos del tipo menú y técnicas muy similares a las de este exploit.

El exploit solo funciona en antiguas versiones de Windows, ya que desde la salida de Windows 8 un proceso de usuario no tiene permitido mapear la página nula. Microsoft implementó esta mitigación en Windows 7 para sistemas basados en x64.

Aquellos que sigan utilizando Windows 7 Service Pack 1 en sistemas de 32 bit deberían considerar actualizarse a un sistema operativo más nuevo, dado que la extensión del soporte para Service Pack 1 de Windows 7 finalizará el 14 de enero de 2020. Esto quiere decir que los usuarios de Windows 7 no recibirán actualizaciones de seguridad críticas, por lo que vulnerabilidades como estas permanecerán sin parchear para siempre.