El sistema Windows de Microsoft enfrenta una grave vulnerabilidad de seguridad

El parche de seguridad lanzado por Microsoft el mes pasado incluye una vulnerabilidad de escalada de privilegios en el sistema Windows que está siendo explotada por hackers. Esta vulnerabilidad afecta principalmente a las versiones anteriores de Windows, mientras que el sistema Windows 11 parece no verse afectado. A pesar de que Microsoft continúa fortaleciendo las medidas de seguridad del sistema, los atacantes aún pueden aprovechar este tipo de vulnerabilidades para llevar a cabo ataques. Este artículo analizará los detalles específicos de esta vulnerabilidad y las posibles formas de ataque.

Este proceso de análisis se llevó a cabo en un entorno de Windows Server 2016.

Contexto de la vulnerabilidad

Esta es una vulnerabilidad de día cero, es decir, una vulnerabilidad del sistema que aún no ha sido divulgada ni reparada. Las vulnerabilidades de día cero suelen ser extremadamente destructivas, ya que los atacantes pueden explotarlas sin ser detectados. A través de esta vulnerabilidad a nivel del sistema Windows, los hackers pueden obtener el control total del sistema.

Los sistemas controlados por hackers pueden llevar a diversas consecuencias graves, incluyendo pero no limitándose a: robo de información personal, pérdida de datos por fallos del sistema, pérdidas financieras, implantación de malware, entre otros. Para los usuarios individuales, las claves privadas de criptomonedas pueden ser robadas, y los activos digitales enfrentan el riesgo de ser transferidos. Desde una perspectiva más amplia, esta vulnerabilidad incluso podría afectar a todo el ecosistema Web3 basado en la infraestructura de Web2.

Análisis de Vulnerabilidades

Después de analizar el parche, se descubrió que el problema radicaba en que el recuento de referencias de un objeto se había procesado una vez más. Una investigación más profunda en los comentarios del código fuente temprano reveló que el código anterior solo bloqueaba el objeto de la ventana, pero no bloqueaba el objeto del menú dentro del objeto de la ventana, lo que podría haber llevado a una referencia incorrecta del objeto del menú.

Explotación de vulnerabilidades

Hemos construido una estructura de menú de múltiples capas especial para activar vulnerabilidades. Estos menús tienen tipos de ID y relaciones de referencia específicas, para pasar varias verificaciones del sistema. La clave es eliminar la relación de referencia entre menús específicos cuando una función devuelve la capa de usuario, liberando así un objeto de menú crítico. De esta manera, cuando el sistema intenta referenciar nuevamente ese objeto de menú, se producirá un error.

Implementación de la explotación de vulnerabilidades

La explotación de vulnerabilidades se divide principalmente en dos pasos: primero, controlar el valor de un parámetro clave, y luego utilizar este control para establecer primitivos de lectura y escritura estables. A través de un diseño cuidadoso de la disposición de la memoria, aprovechamos la estructura específica de los objetos de ventana y de las clases de objetos de ventana, logrando finalmente la lectura y escritura arbitrarias en el sistema.

Conclusión

1. Microsoft está intentando reestructurar el código relacionado con win32k utilizando Rust, y es posible que en el futuro este tipo de vulnerabilidades ya no existan.

2. El proceso de explotación de este tipo de vulnerabilidades es relativamente simple y depende principalmente de la filtración de la dirección del controlador de pila de escritorio.

3. El descubrimiento de esta vulnerabilidad puede deberse a tecnologías de detección de cobertura de código más completas.

4. Para la detección de vulnerabilidades, además de prestar atención a las funciones que desencadenan vulnerabilidades, también se deben considerar la disposición anómala de la memoria y el comportamiento de lectura y escritura de datos.

En general, a pesar de que la seguridad del sistema Windows está mejorando constantemente, las vulnerabilidades en sistemas obsoletos siguen siendo una grave amenaza a la seguridad. Actualizar los parches del sistema a tiempo y aumentar la conciencia de seguridad siguen siendo medidas clave para proteger la seguridad del sistema.