Nuevo 0-day UAC bypass

Si el pasado 20 de noviembre se hizo público en Exploit Database una vulnerabilidad utilizada por Stuxnet para elevar privilegios mediante un fallo en el programador de tareas de Windows, ahora acaba de salir a la luz un nuevo 0-day que elude el control de cuentas de usuario (UAC) para conseguir privilegios de 'system'.

El exploit se aprovecha de la forma en la que el controlador win32k.sys procesa ciertos valores del registro. En concreto, el exploit manipula el valor SystemDefaultUEDCFont del registro y activa el soporte para EUDC (End-User-Defined-Characters) a través de la función EnableEUDC.

Esto quiere decir que el atacante crea una clave en el registro donde un usuario no-administrador tiene privilegios para hacerlo. Luego intenta leerla, provoca el fallo en el driver y obtiene los privilegios.


Existe incluso un PoC que utiliza la clave de registro HKEY_USERS\[SID DEL USUARIO]\EUDC:

Para protegernos hasta que Microsoft publique los parches correspondientes, se propone una solución temporal:

• Como administrador abra el Regedit y vaya a HKEY_USERS\[SID de cada cuenta de usuario]\EUDC
• Pulse EUDC y elegir permisos.
• Seleccione el usuario cuya cuenta se va a modificar y seleccione Avanzado.
• Seleccione Agregar y luego en el nombre del usuario. Posteriormente pulse aceptar.
• Elegir la opción Denegar en el cuadro de selección para Eliminar y Crear subclave.
• Pulsar ok y aceptar.

No obstante recordar que para que el código malicioso que emplea este exploit sea ejecutado tiene que ser previamente descargado en el equipo de la víctima, por lo que se recomienda sobretodo tener especial cuidado con el correo electrónico y sitios web desconocidos además claro está del uso contínuo de un antivirus actualizado. Porque, con este fallo, ya son dos problemas de elevación de privilegios que Microsoft debe arreglar...

Comentarios