Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.
Inicio/ Blog / Escalada de privilegios a usuario del sistema en Windows 10…
Endpoint

Escalada de privilegios a usuario del sistema en Windows 10 mediante CVE-2019-1405 y CVE-2019-1322

Por OPSWAT
Comparte esta publicación

Autor: Vuong Doan Minh, Software , OPSWAT

Introducción

La escalada de privilegios es un tipo de vulnerabilidad que permite a los atacantes obtener derechos de acceso elevados a recursos protegidos dentro de una aplicación o un sistema operativo.

Descripción de la vulnerabilidad

La vulnerabilidad CVE-2019-1405 puede utilizarse para elevar los privilegios de cualquier usuario local a los de un usuario de servicio local.

La vulnerabilidad CVE-2019-1322 puede utilizarse para elevar los privilegios de un usuario de servicio local a los de un usuario del sistema local.

Por lo tanto, al combinar ambas vulnerabilidades CVE en un único exploit, se consigue elevar los privilegios de cualquier usuario local a los de un usuario del sistema.

Estas vulnerabilidades afectan a los equipos que ejecutan Microsoft Windows 10 1803 y versiones posteriores que no se hayan actualizado con el último parche o con la actualización de seguridad del 12 de noviembre de 2019 [1][2].

Efecto potencial

Esto supone un gran peligro para las organizaciones, ya que existen muchas formas de acceder a cualquier equipo dentro de una organización. Por ejemplo, en una organización que utilice un controlador de dominio, cualquier usuario puede iniciar sesión en cualquier equipo del dominio si tiene acceso físico al mismo. En principio, solo puede acceder a los datos limitados a su cuenta de usuario en ese equipo. Sin embargo, aprovechando estas vulnerabilidades, puede crear procesos con privilegios elevados para:

  • Añade nuevas cuentas de usuario al grupo «Administración» para que puedan acceder a recursos confidenciales.
  • Instalar puertas traseras y programas maliciosos en el ordenador de la víctima para poder aprovecharlos posteriormente.
  • Ver, modificar o eliminar cualquier dato.

Cómo te OPSWAT a detectar las vulnerabilidades

MetaDefender puede detectar los dispositivos que presentan vulnerabilidades y proporcionar instrucciones para solucionarlas.

Tras instalar MetaDefender Endpoint, este detectará vulnerabilidades en los dispositivos finales y las notificará a MetaDefender . MetaDefender analizará los datos y notificará a los usuarios finales si se encuentra alguna vulnerabilidad, junto con instrucciones útiles para solucionar las detectadas. Los administradores también pueden gestionar todos los dispositivos vulnerables a través de la consola web MetaDefender .

MetaDefender Core , con file-based vulnerability assessment , puede detectar vulnerabilidades en archivos binarios en los puntos finales. MetaDefender Core API que se pueden utilizar para integrarse con otros servicios con el fin de analizar archivos. Por ejemplo: analizar los archivos que entran y salen de la red de su organización.

  • Si el archivo vulnerable se encuentra entre los archivos del sistema, es señal de que debes actualizar el sistema.
  • Si los archivos afectados son los del programa, deberías actualizarlo o plantearte desinstalarlo temporalmente.
  • Si un programa de instalación presenta vulnerabilidades, no debes instalarlo en ningún equipo de tu organización.
  • Si un archivo de biblioteca de tu proyecto es vulnerable, debes buscar la última versión parcheada de la biblioteca o dejar de utilizarla si no hay ningún parche para esas vulnerabilidades.

¿Cómo se aprovecha?

El código de explotación para esta vulnerabilidad se puede encontrar en https://www.exploit-db.com/exploits/47684, como un módulo del marco Metasploit de Rapid7 [3].

Demostración del exploit:

  • Máquina atacante: Kali Linux.
  • Equipo afectado: Windows 10 1803 x64
  • La demostración parte de la base de que el atacante ya tiene acceso al equipo de la víctima.

Remediación

Se recomienda encarecidamente mantener siempre Windows actualizado, especialmente las actualizaciones relacionadas con la seguridad (KB); o, como mínimo, instalar los parches de seguridad hasta noviembre de 2019.

Referencias

[1] «CVE-2019-1405 | Vulnerabilidad de elevación de privilegios en el servicio UPnP de Windows». Disponible en: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.

[2] «CVE-2019-1322 | Vulnerabilidad de elevación de privilegios en Microsoft Windows». Disponible en: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.

[3] «Metasploit de Rapid7». Disponible en: https://www.metasploit.com/

Etiquetas:

Últimas publicaciones

Suscríbete al OPSWAT de OPSWAT

Recibe las últimas novedades OPSWAT , junto con información sobre eventos y las noticias que impulsan el avance del sector.
Inscríbeme

Síguenos en Media sociales

¡Sigue a OPSWAT LinkedIn, Facebook, Twitter y YouTube para estar al día!

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.
Suscríbete