Resumen ejecutivo

Anton Cherepanov (ESET) ha reportado a Microsoft una elevación de privilegios que permitiría a un atacante tomar el control administrativo desde una cuenta de usuario convencional. El ataque original proviene de este ejemplar (https://www.virusradar.com/en/Win32_Exploit.CVE-2019-1132.A/description). Parece estar ligado a las operaciones del grupo APT28.

Es significativo que, una vez más, APT 28 está empleando un zero day para conseguir privilegios administrativos. Nuestra recomendación desde BOTECH FPI siempre es parchear todos los equipos afectados, aunque existen rumores de inestabilidad que no están confirmados.

Definición

Se puede explotar una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k falla a la hora de manejar correctamente objetos en memoria. Un atacante que explote satisfactoriamente esta vulnerabilidad, podría inyectar código en modo kernel.
Para explotar esta vulnerabilidad, un atacante debe logarse previamente en el sistema. Después, debe correr código específicamente diseñado para explotar esta vulnerabilidad y elevar sus privilegios. Tras llevar a cabo los pasos anteriores, podrá tomar el control del sistema afectado. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; crear nuevas cuentas con todos los derechos de usuario.

Tan pronto como se descubrió y analizó la vulnerabilidad, los resultados se transfirieron al Centro de respuesta de seguridad de Microsoft con idea de cerrar la brecha mediante la actualización correspondiente .

La actualización de seguridad corrige la manera en la que Win32k maneja objetos en la memoria.

Win32k.sys es un archivo crítico del sistema, ya que se trata de un controlador de dispositivos en modo kernel. Es imprescindible para el funcionamiento de Windows.

CVSS Score y versiones afectadas

Producto

Base

Temporal

Windows Server 2008 for 32-bit Systems Service Pack 2

7,8

7,2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

7,8

7,2

Windows Server 2008 for Itanium-Based Systems Service Pack 2

7,8

7,2

Windows Server 2008 for x64-based Systems Service Pack 2

7,8

7,2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

7,8

7,2

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

7,8

7,2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

7,8

7,2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

7,8

7,2

Windows 7 for 32-bit Systems Service Pack 1

7,8

7,2

Windows 7 for x64-based Systems Service Pack 1

7,8

7,2

Parcheado

La actualización de Julio: KB4507453, parchea esta vulnerabilidad.  

https://support.microsoft.com/en-us/help/4507453/windows-10-update-kb4507453

Microsoft recomienda encarecidamente que se instale la última actualización de la pila de servicios (SSU) para el sistema operativo antes de instalar la última actualización acumulativa (LCU). Las SSU mejoran la confiabilidad del proceso de actualización para mitigar posibles problemas al instalar la LCU y aplicar las correcciones de seguridad de Microsoft. 

Si Windows Update está activado, se ofrecerá automáticamente la última SSU ( KB4509096 ). Para obtener el paquete independiente para la última SSU, hay que obtenerlo en el Catálogo de actualizaciones de Microsoft.