wmtech logo

Los investigadores descubren fallas en Windows que otorgan a los hackers poderes similares a los de un rootkit

Luis Quiles
Luis Quiles
rootkit
Rootkit, Seguridad de Software

Nueva investigación ha encontrado que el proceso de conversión de la ruta DOS a NT podría ser explotado por actores de amenazas para lograr capacidades similares a las de un rootkit para ocultar e impersonar archivos, directorios y procesos.

«Cuando un usuario ejecuta una función que tiene un argumento de ruta en Windows, la ruta DOS en la que existe el archivo o carpeta se convierte en una ruta NT», dijo el investigador de seguridad de SafeBreach, Or Yair, en un análisis presentado en la conferencia Black Hat Asia la semana pasada.

«Durante este proceso de conversión, existe un problema conocido en el que la función elimina los puntos finales de cualquier elemento de la ruta y los espacios finales del último elemento de la ruta. Esta acción la completan la mayoría de las API de espacio de usuario en Windows».

Estas llamadas rutas MagicDot permiten funcionalidades similares a las de un rootkit que son accesibles para cualquier usuario no privilegiado, quien podría luego usarlas para llevar a cabo una serie de acciones maliciosas sin tener permisos de administrador y permanecer indetectado.

Incluyen la capacidad de «ocultar archivos y procesos, ocultar archivos en archivos comprimidos, afectar el análisis de archivos prefetch, hacer que los usuarios de Task Manager y Process Explorer crean que un archivo de malware era un ejecutable verificado publicado por Microsoft, desactivar Process Explorer con una vulnerabilidad de denegación de servicio (DoS) y más».

rootkit

El problema subyacente dentro del proceso de conversión de la ruta DOS a NT también ha llevado al descubrimiento de cuatro deficiencias de seguridad, tres de las cuales han sido abordadas por Microsoft:

  • Una vulnerabilidad de eliminación de elevación de privilegios (EoP) que podría ser utilizada para eliminar archivos sin los privilegios requeridos (se corregirá en una versión futura).
  • Una vulnerabilidad de escritura de elevación de privilegios (EoP) que podría ser utilizada para escribir en archivos sin los privilegios requeridos al manipular el proceso de restauración de una versión anterior desde una copia de seguridad en volumen (CVE-2023-32054, puntuación CVSS: 7.3).
  • Una vulnerabilidad de ejecución remota de código (RCE) que podría ser utilizada para crear un archivo comprimido especialmente diseñado, lo que puede llevar a la ejecución de código al extraer los archivos en cualquier ubicación elegida por el atacante (CVE-2023-36396, puntuación CVSS: 7.8).
  • Una vulnerabilidad de denegación de servicio (DoS) que afecta al Process Explorer al iniciar un proceso con un ejecutable cuyo nombre tiene 255 caracteres de longitud y no tiene una extensión de archivo (CVE-2023-42757).

 

«Esta investigación es la primera de su tipo en explorar cómo problemas conocidos que parecen ser inofensivos pueden ser explotados para desarrollar vulnerabilidades y, en última instancia, representar un riesgo de seguridad significativo», explicó Yair.

SafeBreach

«Creemos que las implicaciones son relevantes no solo para Microsoft Windows, que es el sistema operativo de escritorio más utilizado en el mundo, sino también para todos los proveedores de software, la mayoría de los cuales también permiten que los problemas conocidos persistan de versión en versión de su software.»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.