Investigador desarrolló nuevos exploits a nivel de kernel para …



El problema tiene que ver con un componente de controlador de impresión que se encuentra en todas las versiones de Windows que se remontan a Home windows 7, dice un investigador de seguridad de Singular Protection Lab en Black Hat Europe 2020.

Un par de vulnerabilidades que un investigador de seguridad de Singular Security Lab, con sede en China, reveló en el evento virtual Black Hat Europe 2020 de esta semana, han puesto de reduce una vez más por qué es peligroso para las organizaciones subestimar la amenaza de errores antiguos y pasados ​​por alto en productos de computer software de uso común.

Los errores recientemente revelados existen en el código de Home windows que se encuentra en las versiones del sistema operativo, desde la última versión de Home windows 10 hasta al menos Home windows 7 desde 2009. Los errores de escalada de privilegios permiten a los atacantes obtener un handle completo de los sistemas vulnerables. .

Según el investigador de seguridad Rancho Han de Singular Security, el problema existe específicamente en un componente antiguo y apenas conocido en el kernel de Home windows llamado controlador de impresión en modo de usuario (UMPD).

El controlador consta de dos componentes principales: una biblioteca de vínculos dinámicos de gráficos de impresora (DLL) que ayuda a la interfaz del dispositivo de gráficos a procesar un trabajo de impresión y enviarlo a la cola de impresión y una DLL de interfaz de impresora que utiliza el spooler para notificar al controlador de eventos relacionados con la impresión, dijo Han en su presentación de Black Hat.

El problema existe en la interacción entre UMPD y ciertas funciones del kernel de Home windows. Según Han, cuando un usuario inicia algunos tipos de funciones relacionadas con la impresión, el UMPD interactúa con el motor gráfico y recibe lo que se conoce como «devoluciones de llamada» del kernel. La forma en que tiene lugar la interacción brinda a los atacantes la oportunidad de insertar código malicioso en el proceso, que luego se ejecuta en el nivel del kernel de Windows.

«Cuando crea un objeto de usuario en el espacio de usuario y cuando crea algunas funciones para volver a llamar al espacio de usuario, un atacante podría … modificar el objeto cuando el núcleo reutiliza el objeto, podría crear muchos problemas de seguridad», dijo Han.

Microsoft, que corrigió los problemas hace meses, describió el problema como una escalada de vulnerabilidad de privilegios que un atacante que ya inició sesión en un sistema vulnerable podría aprovechar. «Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario en modo kernel», dijo Microsoft en su consultivo. «Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos».

Según Microsoft, los ataques dirigidos a la vulnerabilidad son difíciles de realizar y requerirían que un adversario invirtiera un tiempo considerable en comprender el entorno de destino y en desarrollar un ataque. Sin embargo, un ataque exitoso podría resultar en la pérdida whole de confidencialidad, integridad del sistema y disponibilidad, dijo el gigante del software package.

El uso de Han del mecanismo de devolución de llamada en modo de usuario de Windows para lanzar ataques a nivel de kernel se basa en trabajos previos que el investigador de seguridad Tarjei Mandt revelado en Black Hat Usa en 2011. Ese trabajo resultó en hasta 44 vulnerabilidades de escalada de privilegios que se corrigieron posteriormente,

Curiosamente, las vulnerabilidades que Han aprovechó son el resultado de un esfuerzo de Microsoft para hacer que Windows sea más seguro. Originalmente, los modos del controlador de la impresora se cargaban en el kernel de Windows. Pero a partir de Windows Vista, Microsoft hizo un gran cambio y comenzó a ejecutar los controladores de impresión en modo de usuario. «El cambio se realizó como una mejora de la seguridad», dijo Han. «Una vez que se cambia al modo de usuario, los errores en el controlador de la impresora tendrían un impacto de seguridad muy reducido» en comparación con los controladores de nivel de kernel, dijo.

Sin embargo, la forma en que se implementaron las devoluciones de llamada del kernel al modo de usuario creó una superficie de ataque completamente nueva, señaló el investigador de seguridad.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original