12 sep. 2020

Cuenta de prueba comercial en Windows permite EoP

Darrin DeYoung es el protagonista de una vulnerabilidad reciente en Windows. Pero no el descubridor ni el que la explota, sino el que te aparece en la pantalla cuando se aprovecha este fallo. Porque Darrin DeYoung está en Windows se quiera o no.

Windows dispone de un modo "prueba comercial" o retail al que se llega hciendo click cinco veces sobre la palabra Windows en la pantalla de activación. Aparecerá una pantalla de confirmación tras elevar privilegios (EoP).

Si se acepta se borra todo el sistema y pasa a modo "comercial". Es una especie de modo demo. Cuando se reinicie, la cuenta Darrin DeYoung aparecerá en la pantalla de login dentro del grupo administradores. No tiene contraseña. La vulnerabilidad descubierta por Google en su Project Zero aprovecha la función de crear esta cuenta que normalmente debería requerir de privilegios.

Por defecto Windows tiene una tarea CloudExperienceHost\CreateObjectTask que sirve para crear clases COM elevadas con SYSTEM desde el usuario. Está involucrado en el proceso de paso a la prueba comercial mencionada antes. Esto es normal, solo que el servidor COM no están bien protegido por permisos. Permite ser lanzada desde el grupo "interactivo" o sea, no solo procesos y por usuarios.

Así, si un atacante puede jugar con esto creando tareas que llamen a clases elevadas, resulta que de alguna forma se puede llamar a CreateRetailDemoAccount a través de ese CloudExperienceHost y elevar. La PoC hace justo eso, lanza la tarea, y aprovecha para llamar a la función de creación de cuenta demo que habitualmente debería estar protegida.

Se trata de un fallo muy similar a otro ocurrido en 2015. El problema (CVE-2020-1471) ya ha sido corregido en las actualizaciones de septiembre.

Fuente: CyberSecurityPulse (by ElevenPaths)

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!