Pesquisador de segurança descobre vulnerabilidade de dia zero que afeta o Windows

Um pesquisador de segurança descobriu uma vulnerabilidade de dia zero enquanto trabalhava em uma atualização para uma ferramenta de segurança do Windows. Segundo publicação do pesquisador em seu blog pessoal, a vulnerabilidade afeta os sistemas operacionais Windows 7 e Windows Server 2008 R2.

De acordo com publicação do site ZDNet, a vulnerabilidade reside em duas chaves de registro configuradas incorretamente para os serviços RPC Endpoint Mapper e DNSCache que fazem parte de todas as instalações do Windows: HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper; HKLM\SYSTEM\CurrentControlSet \ Services \ Dnscache.

Clément Labro, o pesquisador de segurança francês que fez a descoberta, diz que um invasor que tem uma posição segura em sistemas vulneráveis pode modificar essas chaves de registro para ativar uma subchave normalmente empregada pelo mecanismo de Monitoramento de Desempenho do Windows.

As subchaves de “desempenho” geralmente são empregadas para monitorar o desempenho de um aplicativo e, por causa de sua função, também permitem que os desenvolvedores carreguem seus próprios arquivos DLL para rastrear o desempenho usando ferramentas personalizadas, diz a publicação.

Segundo Labro, no Windows 7 e no Windows Server 2008, ainda era possível carregar DLLs personalizadas que rodavam com privilégios de nível de SISTEMA, embora nas versões recentes do Windows, essas DLLs sejam geralmente restritas e carregadas com privilégios limitados.

Labro disse que descobriu a vulnerabilidade de dia zero depois de lançar, em outubro, uma atualização para a PrivescCheck, ferramenta para verificar erros de configuração comuns de segurança do Windows que podem ser usados por malware para escalonamento de privilégios. A atualização adicionou suporte para um novo conjunto de verificações para técnicas de escalonamento de privilégios.

Ao identificar o dia zero depois do lançamento, o pesquisador não teve chance de relatar o problema à Microsoft em particular, como os profissionais de segurança costumam fazer. Labro disse que não sabia que as novas verificações destacavam um método de escalonamento de privilégios novo e sem patch até que ele começou a investigar uma série de alertas que aparecem em sistemas mais antigos como o Windows 7, dias após o lançamento, reporta o ZDNet.

A Microsoft não deixou claro se irá corrigir o novo dia zero descoberto por Labro. No entanto, a ACROS Security já criou um micro-patch, lançado na última quarta-feira (2). O micro-patch é instalado por meio do software de segurança 0patch da empresa e evita que agentes mal-intencionados explorem o bug por meio do patch não oficial da ACROS.

Ainda segundo o ZDNet, tanto o Windows 7 quanto o Windows Server 2008 R2 alcançaram oficialmente o fim da vida (EOL) e a Microsoft parou de fornecer atualizações de segurança gratuitas. Algumas atualizações de segurança, diz o site, estão disponíveis para usuários do Windows 7 por meio do programa de suporte pago ESU (Extended Support Updates) da empresa, mas um patch para esse problema ainda não foi lançado.