Pocos días después de la actualización de seguridad mensual de Windows (Patch Tuesday), se ha informado públicamente de algunas vulnerabilidades 0-day del sistema de archivos a las que todavía no se ha dado solución.
Como todos los meses, Microsoft corrige en bloque con el Patch Tuesday vulnerabilidades de seguridad en toda su gama de productos. En la última actualización de seguridad, se han corregido un total de 111 vulnerabilidades, 16 de las cuales fueron catalogadas como críticas y, excepcionalmente, no hubo ninguna vulnerabilidad 0-day entre ellas.
Recordamos que se consideran como vulnerabilidades 0-day aquellas que no son todavía conocidas, por lo que el proveedor no ha sido capaz de solucionarlas, suponiendo una brecha de seguridad que podría ser aprovechada por los atacantes desde el mismo día del lanzamiento del producto. En esta ocasión, se han publicado al menos cuatro nuevas vulnerabilidades 0-day que afectan a Microsoft Windows, afectando tres de ellas al sistema de archivos de Windows.
La Iniciativa Zero Day (ZDI) de Trend Micro es un programa de recompensas de detección (bug bounty) creado en 2005 que fomenta la notificación de vulnerabilidades 0-day. Aquellos investigadores de seguridad que logran descubrir alguna vulnerabilidad y la notifican al ZDI, son recompensados económicamente. Se pone especial atención en la identificación de la gravedad y la descripción técnica del fallo de seguridad para facilitar el trabajo de los proveedores a la hora de solucionar los mismos y que los investigadores de seguridad sigan analizando los productos.
Por motivos de seguridad, se evita la publicación de los detalles técnicos de las vulnerabilidades hasta que el proveedor ha lanzado la actualización de seguridad. No obstante, el ZDI ofrece una ventana de 120 días para que se corrija el fallo, tras la cual se publica un «aviso limitado» incluyendo consejos para la mitigación.
Las vulnerabilidades 0-day de Microsoft Windows que se divulgaron públicamente el 19 de mayo afectan principalmente al archivo splwow64.exe, que es un host de controlador de impresora para aplicaciones de 32 bits. El ejecutable Spooler Windows OS (Windows 64 bits) permite que las aplicaciones de 32 bits sean compatibles con un sistema Windows de 64 bits. CVE-2020-0915, CVE-2020-0916 y CVE-2020-0986afectan a este archivo. Las tres se clasifican como de gravedad alta en el sistema de puntuación CVE, con una calificación de 7.0.
Estas vulnerabilidades podría permitir a un atacante escalar privilegios en un sistema Windows. El problema reside en el proceso de host del controlador de impresora en modo de usuario, produciéndose por la falta de una validación adecuada de un valor suministrado por el usuario antes de desreferenciarlo como un puntero. Por lo tanto, se puede aprovechar esta vulnerabilidad para escalar privilegios de baja integridad y ejecutar código en el contexto del usuario actual con integridad media.
Dado que el atacante debe obtener en primer lugar la capacidad de ejecutar código de bajo privilegio en el destino, la calificación de estas vulnerabilidades no ha sido de severidad crítica.
La última de las vulnerabilidades 0-day divulgada públicamente por el ZDI no tiene todavía un número CVE, solo el ZDI-20-666. Esta vulnerabilidad también permite una escalada de privilegios, pero esta vez relacionada el manejo de perfiles de conexión de WLAN. Un atacante podría obtener las credenciales de la máquina mediante un perfil malicioso, que luego podrían ser aprovechadas para otro tipo de ataque. Sin embargo, Microsoft no la ha considerado lo suficientemente grave como como para corregirla en la versión actual, por lo que no ha proporcionado ningún parche de seguridad.
Todas las vulnerabilidades fueron notificadas a Microsoft por parte del ZDI en diciembre, aunque no se solucionaron hasta el Patch Tuesday de mayo. Todavía no se sabe cuándo publicará Microsoft una solución para los usuarios.
El consejo de mitigación incluido en las divulgaciones de asesoramiento limitado de ZDI para las tres vulnerabilidades 0-day se basan en la restricción del servicio, de modo que solo los clientes y servidores legítimos puedan comunicarse con el mismo.
Más información:
- https://www.forbes.com/sites/daveywinder/2020/05/23/windows-security-alert-four-new-zero-day-vulnerabilities-confirmed-unpatched/#2b2de60b6b4c
- https://www.zerodayinitiative.com/advisories/ZDI-20-666/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0915
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0916
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0986