Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Nuevo Error "Zero-Day" en Windows

"Una nueva vulnerabilidad en el Núcleo de Windows fue descubierta el Miércoles que puede permitir que programas maliciosos puedan tener privilegios administrativos sin pasar por el control del UAC (Control de cuentas de usuario). Combinado con la vulnerabilidad sin parche de Internet Explorer, lo que puede ser un mal augurio para los usuarios de Windows"

Un nueva vulnerabilidad "día cero" se dió a conocer, la cual permite que una aplicación pueda elevar el privilegio a "sistema" y en Vista y Windows 7 al puentear el UAC (Control de Cuentas de Usuario). La falla salió de un sitio de educación y programación y desde entonces ha sido removida.

Prueba del concepto para la elevación de privilegios de la vulnerabilidad. Ésta toma ventaja de un error en win32k.sys, que es parte del núcleo de Windows, la falla está relacionada con la forma en que se interpreta cierta clave del Registro es interpretada y permite a un atacante hacerse pasar por la cuenta de sistema que tiene prácticamente acceso ilimitado a todos los componentes del sistema. La clave de Registro en cuestión está bajo control total de usuarios no privilegiados.

El fallo parece afectar todas las versiones de Windows de nuevo o por lo menos Windows XP, incluyendo el más reciente de Windows 2008 R2 y Windows 7. Por sí solo este error no permite la ejecución remota de código (RCE), pero permite que las cuentas no-administradoras ejecutar código como si lo fueran.

Se ha encontrado una reducción que descubrieron mientras investigaban esta falla. Por desgracia resulta algo complicado. Para evitar el fallo se pueden realizar las siguientes acciones:

  1. Como Administrador entrar al Regedit e ir a  HKEY_USERS\[SID of each user account]\EUDC
  2. Click derecho en EUDC y elegir los permisos.
  3. Seleccione el usuario a modificar y selecciona Avanzado.
  4. Selecciona Agregar y luego escribe el nombre del usuario y dar click en Aceptar.
  5. Dar click en la casilla de Denegar para Eliminar y Crear subclave
  6. Da click a todos los botones de Aplicar y Aceptar para salir.

 

Registro de permisos para la mitigación

Las claves de Registro cambiadas por esta mitigación no deben impactar la habilidad del usuario para utilizar el sistema, pero cambiando los permisos relacionados  con la configuración de la página de código de Windows puede causar problemas en las instalaciones multilingües. En las pruebas que realizaron tuvieron poco tiempo para probar. USESE A DISCRECIÓN.

¿Las buenas nuevas?

Para que ésto pueda ser explotado por un código malicioso necesita ser introducido. Esto significa que tu correo electrónico, web y filtros antivirus pueden prevenir que éstos códigos sean descargados. Manténte al tanto para mayor información conforme se sabe más sobre esta falla.

Ultima Actualización: Sophos detecta la prueba como un Troj/EUDPoC-A. Estén al pendiente sobre más detalles a medida que estén disponibles.

Se creó el siguiente video como muestra de cómo funciona y qué puede hacer:

Fuentes de información: Slashdot y Sophos.


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/Zero_Day_Error_Windows
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.