Introducció
Un investigador de seguretat ha revelat públicament un exploit per a una vulnerabilitat d’elevació de privilegis locals de Windows que permet a qualsevol persona obtindre privilegis d’administrador en Windows 10 [1].
Usant aquesta vulnerabilitat, els actors de maliciosos amb accés limitat a un dispositiu compromés poden elevar fàcilment els seus privilegis per a ajudar a estendre’s lateralment dins de la xarxa, crear nous usuaris administratius o realitzar ordres privilegiades.
La vulnerabilitat afecta totes les versions suportades de Windows 10 i ja va ser resolta en pedaç acumulatiu de Windows publicat el passat dia 11 de gener del qual ja vam informar i recomanem la seua instal·lació.
Anàlisi
L’atacant pot cridar l’API de la interfície gràfica d’usuari rellevant en el mode usuari per a fer la cridada al kernel com a xxxMenuWindowProc, xxxSBWndProc, xxxSwitchWndProc, xxxTooltipWndProc, etc. Aquestes funcions del kernel activaran una crida de retorn xxxClientAllocWindowClassExtraBytes. L’atacant pot interceptar aquesta callback a través del hook xxxClientAllocWindowClassExtraBytes en KernelCallbackTable, i utilitzar el mètode NtUserConsoleControl per a establir el flag ConsoleWindow de l’objecte tagWND, que modificarà el tipus de finestra.
Després del callback final, el sistema no comprova si el tipus de finestra ha canviat, i es referencien les dades errònies a causa de la confusió de tipus. La diferència abans i després de la modificació del flag és que abans d’establir-lo, el sistema pensa que tagWND.WndExtra guarda un punter de mode d’usuari; després d’establir el flag, el sistema pensa que tagWND.WndExtra és el desplaçament de la pila de l’escriptori del kernel, i l’atacant pot controlar aquest desplaçament, i després causar R&W fora dels límits [2].
Recomanacions
Es recomana als usuaris que encara no hagen instal·lat les actualitzacions de seguretat de gener de 2022 que ho facen com més prompte millor per a evitar atacs que exploten aquesta vulnerabilitat [3].
Referències
[1] Windows vulnerability with new public exploits lets you become admin (bleepingcomputer.com)
[2] CVE-2022-21882: Win32k Window Object Type Confusion | 0-days In-the-Wild (googleprojectzero.github.io)
[3] Security Update Guide – Microsoft