Sin previo aviso, ni con anuncios preliminares a la prensa o páginas webs preparadas con llamativos logotipos, la investigadora SandboxEscaper ha vuelto a ser el foco de atención al publicar varias vulnerabilidades 0-day (para las que aún no existe parche de seguridad) para el sistema operativo Windows y el navegador Internet Explorer, tal y como hizo durante el año pasado.
Vulnerabilidades en el Programador de Tareas
El mero hecho de que estemos ante vulnerabilidades que no estén solucionadas aún por Microsoft, y de las que ya existen exploits y pruebas de concepto que expliquen como aprovecharlas, ya debería ser suficiente para preocuparnos. Pero ¿cómo de graves son estos agujeros de seguridad?
El primero de los 0-day publicados hasta el momento responde al nombre de Bearlpe y permitiría a un usuario sin privilegios conseguir permisos de SYSTEM para ejecutar cualquier acción. Es una vulnerabilidad que debe explotarse de forma local, lo que limita el impacto, y se aprovecha de la funcionalidad para asignar permisos cuando se importan tareas programadas antiguas al utilizar el Programador de Tareas.
A falta de nuevas confirmaciones, de momento se ha comprobado que esta vulnerabilidad afecta a sistemas Windows 10 (32 y 64 bits), además de Windows Server 2016 y 2019.
Agujero de seguridad en el servicio de informe de errores
La segunda de las vulnerabilidades 0-day publicadas hasta el momento responde al nombre de Angrypolarbearbug2 y se aprovecha del servicio de Informe de errores de Windows mediante una operación efectuada sobre el DACL, las listas de control de accesos usadas para identificar usuarios y grupos a los que se les permite o deniega el acceso a un objeto protegido.
En el caso de que un atacante tenga éxito al explotar este agujero de seguridad, sería capaz de editar o borrar cualquier tipo de ficheros, entre los que se incluyen los archivos del sistema que normalmente solo pueden modificar aquellos usuarios con los permisos suficientes. El nombre de la vulnerabilidad hace referencia a un fallo anterior descubierto y publicado por la misma investigadora a finales de 2018 y que permitía a un atacante sin los permisos necesarios sobrescribir cualquier archivo del sistema. No obstante, SandboxEscaper asegura que no es fácil explotar este fallo y que puede que incluso sean necesarios hasta 15 minutos hasta que haga efecto.
Vulnerabilidad en Internet Explorer 11
Además de las dos vulnerabilidades anteriores, la investigadora ha publicado también información relacionada con un agujero de seguridad en el navegador Internet Explorer 11. En el video mostrado por ella se observa como un atacante podría saltarse el modo protegido de la sandbox de Internet Explorer y ejecutar código arbitrario con permisos de grado medio.
Existe un vídeo donde se muestra como este error se produce cuando un navegador vulnerable intenta manejar una librería DLL maliciosa.
Conclusión
Estas tres vulnerabilidades publicadas en las últimas horas (junto a otras dos más que están previstas) no disponen ahora mismo de un parche de seguridad y no se espera que se publique hasta, al menos, el próximo martes 11 de junio. Esto deja, como mínimo, un par de semanas para que sean aprovechados por los potenciales atacantes que se sumará a todo el tiempo que estén sin parchear los sistemas vulnerables.
Junto con la vulnerabilidad crítica solucionada por Microsoft en los boletines de seguridad correspondientes a mayo, estas brechas suponen una amenaza, especialmente en entornos corporativos ya que permiten a un atacante obtener privilegios administrativos en sistemas críticos de una empresa, especialmente en servidores.
Deberemos estar atentos ante las nuevas vulnerabilidades que aún quedan por revelar y, sobre todo, aplicar los debidos parches de seguridad cuando estos sean lanzados. De momento, y hasta que llegue ese momento, se pueden mitigar algunos de estos ataques evitando que usuarios no autorizados accedan de forma local a los equipos para evitar que escalen privilegios y obtengan permisos elevados.