El mundo se despertó el martes con dos nuevas vulnerabilidades, una en Windows y la otra en Linux, que permiten a los piratas informáticos con un punto de apoyo en un sistema vulnerable eludir las restricciones de seguridad del sistema operativo y acceder a recursos confidenciales.
A medida que los sistemas operativos y las aplicaciones se vuelven más difíciles de piratear, los ataques exitosos generalmente requieren dos o más vulnerabilidades. Una vulnerabilidad permite al atacante acceder a recursos del sistema operativo con privilegios bajos, donde se puede ejecutar código o leer datos confidenciales. Una segunda vulnerabilidad eleva la ejecución del código o el acceso a los archivos a los recursos del sistema operativo reservados para el almacenamiento de contraseñas u otras operaciones confidenciales. En consecuencia, el valor de las denominadas vulnerabilidades de escalada de privilegios locales ha aumentado en los últimos años.
rompiendo ventanas
La vulnerabilidad de Windows salió a la luz por accidente el lunes cuando un investigador observó lo que creía que era una regresión de codificación en una versión beta del próximo Windows 11. El investigador descubrió que el contenido del administrador de cuentas de seguridad, la base de datos que almacena las cuentas de usuario y los descriptores de seguridad para los usuarios en el computadora local—pueden ser leídos por usuarios con privilegios de sistema limitados.
Eso hizo posible extraer datos de contraseña protegidos criptográficamente, descubrir la contraseña utilizada para instalar Windows, obtener las claves de la computadora para la API de protección de datos de Windows, que se puede usar para descifrar claves de cifrado privadas, y crear una cuenta en la máquina vulnerable. El resultado es que el usuario local puede elevar los privilegios hasta Sistema, el nivel más alto en Windows.
“Todavía no sé el alcance total del problema, pero creo que son demasiados para no ser un problema”, señaló el investigador Jonas Lykkegaard. «Para que nadie tenga dudas sobre lo que esto significa, es EOP to SYSTEM incluso para aplicaciones en espacio aislado».
yarh- por alguna razón en win11, el archivo SAM ahora es LEÍDO para los usuarios.
Entonces, si tiene habilitados shadowvolumes, puede leer el archivo sam de esta manera:Todavía no sé el alcance total del problema, pero creo que son demasiados para no ser un problema. pic.twitter.com/kl8gQ1FjFt
— Jonas L (@jonasLyk) 19 de julio de 2023
Las personas que respondieron a Lykkegaard señalaron que el comportamiento no era una regresión introducida en Windows 11. En cambio, la misma vulnerabilidad estaba presente en la última versión de Windows 10. El equipo de preparación para emergencias informáticas de EE. UU. dijo que la vulnerabilidad está presente cuando el Volume Shadow El servicio de copia, la función de Windows que permite que el sistema operativo o las aplicaciones tomen «instantáneas de un momento dado» de un disco completo sin bloquear el sistema de archivos, está activado.
El aviso explicaba:
Si hay disponible una instantánea de VSS de la unidad del sistema, un usuario sin privilegios puede aprovechar el acceso a estos archivos para lograr una serie de impactos, que incluyen, entre otros:
- Extraiga y aproveche los hashes de contraseña de la cuenta
- Descubre la contraseña de instalación original de Windows
- Obtenga claves de computadora DPAPI, que se pueden usar para descifrar todas las claves privadas de la computadora
- Obtenga una cuenta de máquina de computadora, que se puede usar en un ataque de boleto plateado
Tenga en cuenta que las instantáneas de VSS pueden no estar disponibles en algunas configuraciones; sin embargo, el simple hecho de tener una unidad de sistema de más de 128 GB de tamaño y luego realizar una actualización de Windows o instalar un MSI garantizará que se cree automáticamente una instantánea de VSS. Para verificar si un sistema tiene instantáneas de VSS disponibles, ejecute el siguiente comando desde un símbolo del sistema privilegiado:
vssadmin list shadows
Investigador Benjamín Delpy mostró cómo se puede explotar la vulnerabilidad para obtener hash de contraseñas u otros datos confidenciales:
P: ¿Qué puedes hacer cuando tienes #mimikatz🥝 y algo de acceso de lectura en los archivos del sistema de Windows como SYSTEM, SAM y SECURITY?
R: Escalada de privilegios locales 🥳
Gracias @jonaslyk para este acceso de lectura en Windows por defecto😘 pic.twitter.com/6Y8kGmdCsp
— 🥝 Benjamín Delpy (@gentilkiwi) 20 de julio de 2023
Actualmente, no hay ningún parche disponible. Un representante de Microsoft dijo que los funcionarios de la compañía están investigando la vulnerabilidad y tomarán las medidas adecuadas según sea necesario. La vulnerabilidad está siendo rastreada como CVE-2023-36934. Microsoft dijo aquí que las hazañas en la naturaleza son «más probables».
Et tunúcleo de Linux?
Mientras tanto, la mayoría de las versiones de Linux están en proceso de distribuir una solución para una vulnerabilidad revelada el martes. CVE-2023-33909, a medida que se rastrea la falla de seguridad, permite que un usuario que no sea de confianza obtenga derechos de sistema sin restricciones al crear, montar y eliminar una estructura de directorio profunda con una longitud de ruta total que excede 1 GB y luego abrir y leer el /proc/self/mountinfo expediente.
“Explotamos con éxito esta escritura fuera de los límites sin control y obtuvimos privilegios completos de raíz en las instalaciones predeterminadas de Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 y Fedora 34 Workstation”, investigadores de Qualys, la firma de seguridad que descubrió la vulnerabilidad. y creó un código de prueba de concepto que lo explota, escribió. “Otras distribuciones de Linux son ciertamente vulnerables y probablemente explotables”.
El exploit Qualys descrito viene con una sobrecarga significativa, específicamente aproximadamente 1 millón de directorios anidados. El ataque también requiere alrededor de 5 GB de memoria y 1 millón de inodos. A pesar de los obstáculos, un representante de Qualys describió el PoC como «extremadamente confiable» y dijo que se tarda unos tres minutos en completarlo.
Aquí hay una descripción general del exploit:
1/ Hacemos mkdir() una estructura de directorio profunda (aproximadamente 1 millón de directorios anidados) cuya longitud de ruta total supera 1 GB, la montamos en un espacio de nombres de usuario sin privilegios y la rmdir().
2/ Creamos un subproceso que vmalloc() ejecuta un pequeño programa eBPF (a través de BPF_PROG_LOAD), y bloqueamos este subproceso (a través de userfaultfd o FUSE) después de que nuestro programa eBPF haya sido validado por el verificador eBPF del kernel pero antes de que se compile con JIT por el núcleo.
3/ Abrimos() /proc/self/mountinfo en nuestro espacio de nombres de usuario sin privilegios y comenzamos a leer() la ruta larga de nuestro directorio montado en enlace, escribiendo así la cadena «//borrado» en un desplazamiento de exactamente -2GB- 10B por debajo del comienzo de un búfer vmalloc()ated.
4/ Hacemos arreglos para que esta cadena «//borrada» sobrescriba una instrucción de nuestro programa eBPF validado (y por lo tanto anule las comprobaciones de seguridad del verificador eBPF del kernel) y transforme esta escritura fuera de límites no controlada en una divulgación de información y en una escritura fuera de los límites limitada pero controlada.
5/ Transformamos esta escritura limitada fuera de los límites en una lectura y escritura arbitraria de la memoria del kernel mediante la reutilización de las hermosas técnicas btf y map_push_elem de Manfred Paul de:
https://www.thezdi.com/blog/2023/4/8/cve-2023-8835-linux-kernel-privilege-escalation-via-improper-ebpf-program-verification
Qualys tiene una reseña separada aquí.
Las personas que ejecutan Linux deben consultar con el distribuidor para determinar si hay parches disponibles para corregir la vulnerabilidad. Los usuarios de Windows deben esperar los consejos de Microsoft y de expertos en seguridad externos.
