Investigador de Google descubre vulnerabilidad de escalada de privilegios en Windows 8.1

El investigador de Google descubre un error de elevación de privilegios en Windows 8.1, versiones de 32/64 bits.

Un investigador de Google llamado Forshaw ha descubierto un error de escalada de privilegios en Windows 8.1. El error en ahcache.sys/NtApphelpCacheControl ha ocurrido después de que Windows 8 se actualizara a Windows 8.1 y fue encontrado por Forshaw en septiembre de 2014. Notificó al correo de investigación de seguridad de Google sobre el error el 30 de septiembre y, después del plazo de divulgación de 90 días, la falla y la prueba de concepto se hicieron públicas ayer.

El equipo de investigadores de Google contactó a Microsoft sobre el error el mismo día en que se descubrió la falla, pero no hay indicios de que se haya tomado alguna acción al respecto. Forshaw también ha declarado en la lista de correo que ha probado la PoC solo en 8.1 y no sabe si Windows 7 es vulnerable.

La vulnerabilidad se identifica en la función ahcache.sys/AhcVerifyAdminContext. La prueba de concepto incluye dos archivos de programa y un conjunto de instrucciones para ejecutarlo, lo que resulta en que la calculadora de Windows se ejecute como Administrador. Forshaw afirma que el error no está en UAC en sí, sino que UAC se utiliza en parte para demostrar el error.

Microsoft tiene un gran problema en mano con esta vulnerabilidad, ya que lanza sus parches principales el segundo martes del mes. Hasta ahora, Microsoft tiene dos opciones:

• Arreglarlo a tiempo para el segundo martes de parches.
• Emitir un parche fuera de banda (generalmente un mal signo de 0day).

El próximo martes de parches está programado para el 13.1.2015 y si lanza un parche antes de eso, se puede asumir que esta es una vulnerabilidad de día cero.

Todo el hilo se reproduce a continuación:

Plataforma: Windows 8.1 Update 32/64 bits (No se ha probado ningún otro SO) En la actualización de Windows 8.1, la llamada al sistema NtApphelpCacheControl (el código está en ahcache.sys) permite que los datos de compatibilidad de aplicaciones se almacenen en caché para un uso rápido cuando se crean nuevos procesos. Un usuario normal puede consultar la caché, pero no puede agregar nuevas entradas en caché, ya que la operación está restringida a administradores. Esto se verifica en la función AhcVerifyAdminContext. Esta función tiene una vulnerabilidad donde no verifica correctamente el token de suplantación del llamador para determinar si el usuario es un administrador. Lee el token de suplantación del llamador usando PsReferenceImpersonationToken y luego hace una comparación entre el SID del usuario en el token y el SID de LocalSystem. No verifica el nivel de suplantación del token, por lo que es posible obtener un token de identidad en su hilo desde un proceso de sistema local y eludir esta verificación. Para este propósito, la PoC abusa del servicio BITS y COM para obtener el token de suplantación, pero probablemente hay otras formas. Simplemente se trata de encontrar una manera de explotar la vulnerabilidad. En la PoC, se hace una entrada en caché para un ejecutable de auto-elevación de UAC (digamos ComputerDefaults.exe) y se configura la caché para apuntar a la entrada de compatibilidad de la aplicación para regsvr32, lo que obliga a un shim RedirectExe a recargar regsvr32.exe. Sin embargo, se podría usar cualquier ejecutable, el truco sería encontrar una configuración de compatibilidad de aplicación preexistente adecuada para abusar. No está claro si Windows 7 es vulnerable, ya que la ruta de código para la actualización tiene una verificación de privilegios TCB sobre ella (aunque parece que dependiendo de las banderas esto podría ser eludido). No se ha hecho ningún esfuerzo por verificarlo en Windows 7. NOTA: Este no es un error en UAC, solo está utilizando la auto-elevación de UAC con fines de demostración. La PoC se ha probado en la actualización de Windows 8.1, tanto en versiones de 32 bits como de 64 bits. Recomendaría ejecutarlo en 32 bits solo para estar seguro. Para verificar, realice los siguientes pasos: 1) Coloque AppCompatCache.exe y Testdll.dll en el disco

2. Asegúrese de que UAC esté habilitado, el usuario actual sea un administrador de token dividido y la configuración de UAC sea la predeterminada (sin aviso para ejecutables específicos).
3. Ejecute AppCompatCache desde el símbolo del sistema con la línea de comando “AppCompatCache.exe c:\windows\system32\ComputerDefaults.exe testdll.dll”.
4. Si tiene éxito, la calculadora debería aparecer ejecutándose como administrador. Si no funciona la primera vez (y obtiene el programa ComputerDefaults), vuelva a ejecutar el exploit desde 3, parece haber un problema de caché/tiempo a veces en la primera ejecución. Este error está sujeto a un plazo de divulgación de 90 días. Si transcurren 90 días sin un parche ampliamente disponible, entonces el informe de error se hará automáticamente visible al público.

Otro usuario ha afirmado que Windows 10 no es vulnerable a esta vulnerabilidad, mientras que otro ha cuestionado la política de Google de hacer público un error así sin la aprobación de Microsoft. El hilo y la PoC se pueden acceder aquí.