Resumen:


Recientemente, investigadores de seguridad de RyeLv dieron a conocer un exploit para una vulnerabilidad de elevación de privilegios locales en Windows, que le permite a los actores de amenaza obtener privilegios de administrador en Windows 10.

Rastreada como CVE-2022-21882, la vulnerabilidad reside en el controlador “Wink32k.sys” y es una derivación del fallo CVE-2021-1732, que fue previamente parcheado en enero. Por lo tanto, la vulnerabilidad afecta todas las versiones de soporte compatibles de Windows 10.

Win32k.sys también conocido como Full/Desktop Multi-User Win32 Driver, es un controlador multiusuario necesario para el desarrollo de Windows. Si este es eliminado, Windows no podrá funcionar correctamente.

Es preciso destacar que la explotación exitosa de la vulnerabilidad, podría permitirle a los atacantes elevar fácilmente sus privilegios para propagarse lateralmente dentro de la red, ejecutando comandos maliciosos o creando usuarios administrativos nuevos.

 

Con este fallo, los actores de amenazas podrían interceptar la devolución de la llamada “xxxClientAllocWindowClassExtraBytes” mediante un enlace ubicado dentro del KernelCallbackTable, haciendo uso del método “NtUserConsoleControl” para configurar el indicador “ConsoleWindow” del objeto tagWND.  

 

Una vez hecho esto, el sistema no verificará si el tipo de ventana ha cambiado y hará referencia a datos incorrectos. Lo que significa que el sistema ahora piensa que tagWND.WndExtra es el desplazamiento del almacenamiento dinámico del kernel y le permitirá a los atacantes controlar el desplazamiento.

 

Por otro lado, los investigadores han informado que pese a que no se acostumbra a informar sobre una vulnerabilidad que ya fue parcheada, muchos administradores omitieron las actualizaciones de enero debido a que hubo un gran número de errores corregidos. Por consiguiente, se le insta a todos los administradores a aplicar inmediatamente el parche proporcionado por Microsoft, de otro modo sus dispositivos permanecerán vulnerables al exploit.

 

Recomendaciones:

Se le recomienda a todos los usuarios que ejecuten alguna de las versiones vulnerables de Windows, que apliquen inmediatamente el parche proporcionado por Microsoft para mitigar los riesgos de explotación.

 

 

Referencias:

https://securityaffairs.co/wordpress/127377/hacking/cve-2022-21882-win-local-privilege-elevation.html

https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-dia-cero-en-windows-10-permite-a-usuarios-locales-obtener-privilegios-de-administrador-codigo-de-explotacion-publicado/

 

 

Folio 145