Vulnerabilidad crítica 0-day en todas las versiones Windows: «posible pesadilla»

La compañía Prevx acaba de anunciar una seria vulnerabilidad que existe en todas las versiones actuales de Windows, incluso con los últimos parches de seguridad instalados. Permite a los atacantes ejecutar malware, incluso en las versiones diseñadas para lidiar con tal tipo de exploits. Los detalles técnicos de la vulnerabilidad han sido publicados en un foro chino, lo que ha traído cierto grado de especulación.

En palabras del investigador Marco Giuliani de Prevx:

«Podría convertirse potencialmente en una pesadilla debido a la naturaleza de la vulnerabilidad […] Estamos a la espera de ver este exploit siendo usado activamente por malware muy pronto – es una oportunidad que los desarrolladores de malware seguramente no pierdan«.

La vulnerabilidad reside en el archivo win32k.sys que forma parte del kernel Windows y forma parte de un API conocida como NtGdiEnableEUDC que falla en el veto contenidos dañinos. Los atacantes pueden explotar el bug para redirigir devoluciones de direcciones de memoria a código malicioso, que entonces se ejecuta con privilegios kernel mode. En resumen, la vulnerabilidad permite que los usuarios o procesos con privilegios limitados puedan ejecutar código con derechos elevados, lo que se conoce como escalado de privilegios.

Giuliani ha comentado:

«Siendo un exploit de escalado de privilegios, se salta por diseño incluso la protección dada por UAC (User Account Control) implementada en Windows Vista y Windows 7 […] Todas las versiones de Windows XP, Vista y 7 -tanto 32 como 64 bits son vulnerables a este ataque«.

Microsoft ha confirmado que está al tanto de la información y que está investigando la cuestión.