Microsoft está trabajando para mitigar toda una clase de errores de Home windows


Logotipo de Windows

Microsoft está trabajando en el desarrollo de mitigación integral para una clase de errores de Windows que han afectado al sistema operativo durante más de dos décadas.

El investigador de seguridad israelí Gil Dabah dijo ZDNet que una solución está actualmente en proceso.

El día de hoy, Dabah publicó un código de prueba de concepto y un informe que detalla 25 errores, todos explotando variaciones sobre el mismo tipo de vulnerabilidad.

La clase de mistake afecta al antiguo componente Win32k

El trabajo de Dabah se expande en una superficie de ataque en el sistema operativo Home windows que se conoce desde mediados de los 90. La clase de vulnerabilidad afecta a Get32k, un componente de Windows que administra la interfaz de usuario en las arquitecturas de Home windows de 32 bits y las interacciones entre los elementos de la interfaz de usuario, los controladores y el sistema operativo / kernel de Home windows.

Hoy en día, el componente Earn32k todavía se entrega con Windows, incluso en versiones de 64 bits, donde actúa como una capa heredada, permitiendo que las aplicaciones más antiguas se ejecuten en sistemas modernos.

Pero el problema proviene de cómo evolucionó este componente. En versiones anteriores de Windows, este componente se ejecutaba en la sección de modo de usuario del sistema operativo Home windows.

Cuando Microsoft finalmente se dio cuenta de que este es un componente essential y que debería ejecutarse en el modo de kernel más seguro, ya era demasiado tarde, ya que el componente había crecido en tamaño y complejidad, y una reescritura completa habría roto la compatibilidad con versiones anteriores para miles de aplicaciones de 32 bits.

Hoy, el componente Acquire32k es un desastre. Algunas operaciones ocurren completamente en el espacio del núcleo, mientras que otras secciones se basan en partes más antiguas de la base de código.

Estas funciones antiguas de Gain32k tienen el prefijo «xxx» y cuando se las llama, se envían desde el modo de kernel seguro al modo de usuario, y el resultado se devuelve al espacio del kernel.

windows-bug-class.png "height =" auto "width =" 370 "src =" https://zdnet2.cbsistatic.com/hub/i/r/2020/04/01/6e4abf22-6e80-4651-bcc3 -7e3e7badf8fd / resize / 370xauto / ec55d48e60ef7a5a4f5f6485a5df7d8b / windows-bug-class.png

imagen: Gil Dabah

Los atacantes y los investigadores de seguridad detectaron rápidamente la debilidad de este modelo de ejecución no estándar. Ambos se dieron cuenta de que podían manipular el código prefijado xxx de Acquire32k mientras estaba en la memoria del modo de usuario e insertar código malicioso que luego se ejecuta dentro del núcleo, con privilegios elevados.

Durante más de una década, los investigadores de seguridad han detallado numerosos métodos y técnicas para insertar código malicioso dentro del componente Win32k y obtener derechos de administrador. La investigación sobre el tema se remonta a 2008 y 2011.

Un desafío de un año

En una entrevista hoy, Dabah dijo ZDNet que exactamente hace un año, hasta el día de hoy, se propuso encontrar una nueva forma de explotar este tipo de errores, desafiándose a sí mismo para descubrir más de 15 problemas diferentes en el componente Acquire32k.

Hoy, el investigador cumplió con ese desafío al publicar un informe de 34 páginas que detalla múltiples métodos nunca antes vistos para obtener una elevación de privilegios a través del componente Gain32k.

En total, el investigador encontró 25 errores diferentes, algunos de los cuales funcionaron incluso en las últimas versiones de Windows 10, en el momento de la prueba de Windows Insider Preview, septiembre de 2019.

De los 25 errores, Dahab dijo que «11 fueron explotados para demostrar la viabilidad de la elevación de privilegios (EOP)». Estos 11 obtuvieron soluciones de Microsoft, que ha estado lanzando lentamente parches desde noviembre de 2019, y las soluciones más recientes llegaron en febrero de este año.

Un duro proceso de parche

Pero aunque muchos investigadores de seguridad generalmente no están contentos con la forma en que Microsoft parchea los problemas de seguridad, Dabah dijo que el fabricante del sistema operativo ha hecho un excelente trabajo, especialmente al tener en cuenta la base de código extremadamente antigua.

«La gente normalmente piensa que es fácil ir y tocar un software de 30 años, pero es como el mayor desafío que nadie imaginó», dijo Dabah ZDNet. «Hablando de alguna manera mi propia experiencia en este dominio también».

Dabah dice que Microsoft está actualmente «desarrollando una amplia mitigación para resolver esta clase de mistake de una vez por todas». Esta mitigación se encuentra actualmente en la versión WIP (Windows Insider Preview), dijo Dabah.

Una vez que esta mitigación se active, Dabah espera que eliminen todos los demás errores en la misma clase de vulnerabilidad, incluso aquellos que aún no se han descubierto o documentado.

El informe de Dabah, que recibió elogios de la mayoría de la comunidad de seguridad de la información, está disponible para descargar en Formato PDF. El código de prueba de concepto para 13 de los 25 errores está disponible en GitHub.





Enlace a la noticia primary