PoC para vulnerabilidad en Microsoft Windows

Se ha desarrollado una prueba de concepto (PoC) que demuestra la explotación de una vulnerabilidad identificada en sistemas Windows.

Esta vulnerabilidad, catalogada como «Zero Day» y conocida como CVE-2023-36874, posee una puntuación CVSS de 7.8 y afecta al Servicio de Informes de Errores de Windows (WER).

Esta vulnerabilidad se presenta en un componente encargado de recolectar y enviar reportes de errores a Microsoft. La falla radica en como WER maneja solicitudes especialmente diseñadas, lo cual permite a un atacante crear un programa malicioso para aprovechar esta debilidad. Una vez que este programa malicioso es ejecutado, el atacante puede obtener acceso con privilegios elevados en el sistema.

No obstante, explotar esta vulnerabilidad no es tan simple como podría parecer. Según la información proporcionada por Microsoft, «El atacante debe tener acceso físico a la máquina objetivo y la capacidad de crear carpetas y seguimientos de rendimiento en la máquina, con los privilegios limitados que los usuarios normales tienen por defecto. Esto disminuye el vector de amenaza, aunque no lo elimina por completo».

Versiones afectadas

Número de compilación	Productos
6.3.9600.21063 6.3.9600.21075	Windows Server 2012 R2 (Server Core installation). Windows Server 2012 R2.
6.2.9200.24374 6.2.9200.24374	Windows Server 2012 (Server Core installation). Windows Server 2012.
6.1.7601.26623	Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation). Windows Server 2008 R2 for x64-based Systems Service Pack 1.
6.0.6003.22175 6.0.6003.22175	Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation). Windows Server 2008 for x64-based Systems Service Pack 2. Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation). Windows Server 2008 for 32-bit Systems Service Pack 2.
10.0.14393.6085	Windows Server 2016 (Server Core installation). Windows Server 2016. Windows 10 Version 1607 for x64-based Systems. Windows 10 Version 1607 for 32-bit Systems.
10.0.10240.20048	Windows 10 for x64-based Systems. Windows 10 for 32-bit Systems.
10.0.19045.3208	Windows 10 Version 22H2 for 32-bit Systems. Windows 10 Version 22H2 for ARM64-based Systems. Windows 10 Version 22H2 for x64-based Systems.
10.0.22621.1992	Windows 11 Version 22H2 for x64-based Systems. Windows 11 Version 22H2 for ARM64-based Systems.
10.0.19044.3208	Windows 10 Version 21H2 for x64-based Systems. Windows 10 Version 21H2 for ARM64-based Systems. Windows 10 Version 21H2 for 32-bit Systems.
10.0.22000.2176	Windows 11 version 21H2 for ARM64-based Systems. Windows 11 version 21H2 for x64-based Systems.
10.0.20348.1850	Windows Server 2022 (Server Core installation). Windows Server 2022.
10.0.17763.4645	Windows Server 2019 (Server Core installation). Windows Server 2019. Windows 10 Version 1809 for ARM64-based Systems. Windows 10 Version 1809 for x64-based Systems. Windows 10 Version 1809 for 32-bit Systems.

Solución

• Durante la actualización programada de julio de 2023, conocida como «Patch Tuesday», la compañía abordó esta vulnerabilidad, otorgando a los usuarios la defensa necesaria contra posibles riesgos de seguridad.

Recomendaciones

• Se recomienda mantener sus sistemas actualizados para evitar caer víctimas de estas amenazas.

Referencias

• https://securityonline.info/poc-exploit-for-0-day-windows-error-reporting-service-bug-cve-2023-36874-releases/
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36874
• https://nvd.nist.gov/vuln/detail/CVE-2023-36874
• https://github.com/d0rb/CVE-2023-36874