La Iniciativa Zero Day (ZDI) hizo públicas cuatro nuevas vulnerabilidades 0-day que afectan a Microsoft Windows, afectando tres de ellas al sistema de archivos de Windows.
Las vulnerabilidades 0-day de Microsoft Windows afectan principalmente al archivo splwow64.exe, que es un host de controlador de impresora para aplicaciones de 32 bits. El ejecutable Spooler Windows OS (Windows 64 bits) permite que las aplicaciones de 32 bits sean compatibles con un sistema Windows de 64 bits. CVE-2020-0915, CVE-2020-0916 y CVE-2020-0986 afectan a este archivo. Las tres se clasifican como de gravedad alta en el sistema de puntuación CVE, con una calificación de 7.0.
Estas vulnerabilidades podría permitir a un atacante escalar privilegios en un sistema Windows. El problema reside en el proceso de host del controlador de impresora en modo de usuario, produciéndose por la falta de una validación adecuada de un valor suministrado por el usuario antes de desreferenciarlo como un puntero.
Dado que el atacante debe obtener en primer lugar la capacidad de ejecutar código de bajo privilegio en el destino, la calificación de estas vulnerabilidades no ha sido de severidad crítica.
La última de las vulnerabilidades 0-day divulgada públicamente por el ZDI no tiene todavía un número CVE, solo el ZDI-20-666. Esta vulnerabilidad también permite una escalada de privilegios, pero esta vez relacionada el manejo de perfiles de conexión de WLAN. Un atacante podría obtener las credenciales de la máquina mediante un perfil malicioso, que luego podrían ser aprovechadas para otro tipo de ataque. Sin embargo, Microsoft no la ha considerado lo suficientemente grave como como para corregirla en la versión actual, por lo que no ha proporcionado ningún parche de seguridad.
Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación relevante es restringir la interacción con el servicio. Solo los clientes y servidores que tienen una relación legítima con el servicio deben poder comunicarse con él.
A pesar que ZDI notificó a Microsoft de estas vulnerabilidades entre diciembre y enero pasado, estas no se solucionaron en el Patch Tuesday de mayo. Todavía no se sabe cuándo publicará Microsoft una solución para los usuarios.
Más información:
- https://unaaldia.hispasec.com/2020/05/alerta-de-seguridad-de-windows-se-confirma-un-0-day-del-sistema-de-archivos-sin-solucionar.html
- https://www.zerodayinitiative.com/advisories/ZDI-20-666/
- https://www.forbes.com/sites/daveywinder/2020/05/23/windows-security-alert-four-new-zero-day-vulnerabilities-confirmed-unpatched/#294e730d6b4c
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0915
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0916
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0986