Investigadores da ESET descobriram e analisaram recentemente uma exploração zero day usada num ataque altamente dirigido na Europa de Leste. A exploração usou uma vulnerabilidade de escalonamento de privilégios local no Microsoft Windows. A ESET relatou imediatamente o problema ao Microsoft Security Response Center, que corrigiu de imediato a vulnerabilidade e lançou um patch.
A exploração só tem impacto em algumas versões do Windows, pois no Windows 8 e versões posteriores um processo de utilizador não tem permissão para mapear a página NULL, necessária para que o ataque em questão seja iniciado e bem sucedido.
Esta vulnerabilidade específica do Windows win32k.sys, à semelhança de outras, usa o menu pop-up para implementação. “Por exemplo, a exploração de escalonamento de privilégios locais do grupo Sednit, verificada em 2017, utilizava objetos de menu e técnicas de exploração, que são muito semelhantes à exploração atual”, explica o investigador da ESET, Anton Cherepanov, que descobriu a mais recente exploração.
A vulnerabilidade (CVE-2019-1132) afeta os seguintes sistemas: Windows 7 for 32-bit Systems Service Pack 1; Windows 7 for x64-Based Systems Service Pack 1; Windows Server 2008 for 32-bit Systems Service Pack 2; Windows Server 2008 for Itanium-Based Systems Service Pack 2; Windows Server 2008 for x64-Based Systems Service Pack 2; Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1; and Windows Server 2008 R2 for x64-Based Systems Service Pack 1. Windows XP e Windows Server 2003 são também afetados, mas estas versões já não são suportadas pela Microsoft.
“Os utilizadores que ainda usam o Windows 7 Service Pack 1 devem considerar a atualização para sistemas operativos mais recentes, até porque o suporte alargado do Windows 7 Service Pack 1 vai terminar a 14 de janeiro de 2020. O que significa que os utilizadores do Windows 7 vão deixar de ter acesso a atualizações críticas de segurança”, acrescenta Cherepanov.