Un exploit de día cero afecta a las últimas versiones de Windows

  • Vulnerabilidades

Aprovecha una vulnerabilidad en el servicio de intercambio de datos de Microsoft (dssvc.dll) y permite a un atacante eliminar cualquier tipo de archivo de la máquina de la víctima, incluidos los datos del sistema. El exploit sólo funciona en Windows 10 y Windows Server 2016 (y 2019).

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Un investigador de seguridad ha publicado una prueba de concepto de un exploit de día cero que funciona en máquinas Windows 10 completamente parcheadas. El fallo que aprovecha es una vulnerabilidad de elevación de privilegios en el servicio de intercambio de datos de Microsoft (dssvc.dll), un servicio local que se ejecuta como una cuenta de LocalSystem con amplios privilegios, y que permite que los datos se distribuyan entre aplicaciones.

Según SandboxEscaper, el fallo permite a un atacante eliminar bibliotecas de aplicaciones (archivos DLL), lo que significa que las aplicaciones afectadas buscarán sus bibliotecas en otros lugares. Si una aplicación encuentra su camino hacia una ubicación de escritura para el usuario, le da al atacante la oportunidad de cargar su propia biblioteca maliciosa, comprometiendo la máquina.

El fallo puede abrir la puerta a una serie de actividades maliciosas, pudiendo ser explotado para facilitar el movimiento lateral dentro de una organización o incluso con fines potencialmente destructivos, como la eliminación de archivos clave del sistema, haciendo que un sistema sea inoperable.

En relación a esto, en la prueba de concepto, un programa que SandboxEscaper denominó "Deletebug.exe" elimina un archivo del sistema, pci.sys, en el equipo atacado, lo que significa que un usuario ya no puede reiniciarlo.

Varios investigadores han confirmado la vulnerabilidad, pudiendo explotarla en máquinas Windows 10 totalmente actualizadas. Además, el servicio de intercambio de datos no parece estar presente en Windows 8.1 y sistemas anteriores, por lo que el exploit sólo funciona en "Windows 10 y Server 2016 (y 2019). Dado que afecta a los sistemas operativos de servidor y cliente, y que Windows 10 es el segundo sistema operativo más extendido, después de Windows 7, resulta atractivo para los atacantes.

Sin embargo, no se espera una serie de ataques que incorporen el exploit más allá de la desactivación de la máquina, ya que, como lo describe SandboxEscaper, el fallo es de "baja calidad".