Investigadores de seguridad publicaron los detalles técnicos y un código de explotación de Prueba de Concepto (PoC) para la CVE-2024-43452 (CVSS 7.5), una vulnerabilidad de elevación de privilegios del Registro de Windows. Microsoft solucionó esta vulnerabilidad en noviembre de 2024.
Informada por Mateusz Jurczyk de Google Project Zero, esta falla explota un descuido de diseño en la gestión de memoria de la subárbol del Registro de Windows, lo que potencialmente permite a los atacantes obtener acceso a nivel de SYSTEM en máquinas vulnerables.
El análisis de CVE-2024-43452 subraya los peligros de la falsa inmutabilidad de archivos en los sistemas operativos. Jurczyk atribuye la inspiración para esta investigación al trabajo de Gabriel Landau sobre esta clase de vulnerabilidad.
La falla se origina en un proceso llamado double-fetch durante la carga de las subárboles del Registro. Según el análisis, "es posible que las mismas páginas de memoria se lean nuevamente desde un medio subyacente… Esto es un problema de seguridad porque, por ejemplo, si un servidor SMB malicioso responde con datos diferentes en ambas solicitudes, entonces se puede cambiar, rompiendo las garantías ofrecidas del núcleo".
La prueba de concepto de Jurczyk demostró cómo se podría explotar esta falla:
- El atacante aloja un archivo de registro HIVE malicioso en un servidor SMB remoto.
- El sistema de destino carga el HIVE, lo que desencadena lecturas de memoria bajo restricciones específicas.
- Un servidor malicioso responde con datos manipulados, corrompiendo la estructura del HIVE del registro y causa una corrupción de memoria.
- Al controlar parámetros clave como FileOffset y Size, el atacante puede explotar esta falla para obtener privilegios de SYSTEM a través de una de corrupción de memoria.
La prueba de concepto (PoC) para CVE-2024-43452 involucró un servidor SMB basado en Linux que ejecuta scripts de Python para manipular el archivo HIVE. Jurczyk detalla que la prueba de concepto funcionó en Windows 11 23H2 con los parches de julio de 2024 instalados. "La vulnerabilidad depende en gran medida del consumo/diseño de la memoria del sistema, por lo que si no se reproduce en el primer intento, se recomienda volver a intentarlo, verificar el alcance del uso de la memoria (por ejemplo, en el Administrador de tareas) y, potencialmente, intentar ajustar la cantidad de memoria física asignada a la máquina virtual", señaló.
Microsoft abordó esta vulnerabilidad en las actualizaciones del martes de parches de noviembre de 2024. Se recomienda encarecidamente a los usuarios que apliquen el parche de inmediato para mitigar los riesgos. Para las organizaciones, la supervisión proactiva del tráfico SMB y la limitación del acceso a las operaciones relacionadas con el registro pueden reducir aún más la exposición.
Fuente: SecurityOnline