Un investigador de seguridad francés descubrió accidentalmente una vulnerabilidad Zero day que afecta a los sistemas operativos Windows 7 y Windows Server 2008 R2 mientras trabajaba en una actualización de una herramienta de seguridad de Windows.
La vulnerabilidad reside en dos claves de registro mal configuradas para los servicios RPC Endpoint Mapper y DNSCache que forman parte de todas las instalaciones de Windows.
- HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper
- HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache
El investigador de seguridad francés Clément Labro, que descubrió el Zero day, dice que un atacante que tiene un punto de apoyo en sistemas vulnerables puede modificar estas claves de registro para activar una subclave que normalmente se emplea en el mecanismo de supervisión del rendimiento de Windows.
Las subclaves de «rendimiento» se emplean normalmente para supervisar el rendimiento de una aplicación y, debido a su función, también permiten a los desarrolladores cargar sus propios archivos DLL para realizar un seguimiento del rendimiento mediante herramientas personalizadas.
Si bien en las versiones recientes de Windows, estas DLL generalmente están restringidas y cargadas con privilegios limitados, Labro dijo que en Windows 7 y Windows Server 2008, aún era posible cargar DLL personalizadas que se ejecutaban con privilegios de nivel de SISTEMA.
Labro dijo que descubrió el día cero después de que lanzó una actualización de PrivescCheck , una herramienta para verificar las configuraciones erróneas de seguridad comunes de Windows que pueden ser abusadas por malware para escalar privilegios.
Tanto Windows 7 como Windows Server 2008 R2 han llegado oficialmente al final de su vida útil (EOL) y Microsoft ha dejado de proporcionar actualizaciones de seguridad gratuitas.
Algunas actualizaciones de seguridad están disponibles para los usuarios de Windows 7 a través del programa de soporte pagado ESU (Extended Support Updates) de la compañía, pero aún no se ha lanzado un parche para este problema.