Uma correção temporária gratuita para uma vulnerabilidade de escalonamento de privilégio local de dia zero no Windows 7 e Windows Server 2008 R2 foi publicada na plataforma 0patch. A vulnerabilidade afeta todos os dispositivos que executam os sistemas operacionais mencionados, incluindo aqueles registrados no programa Microsoft Extended Security Updates (ESU).
A correção ajudará a proteger os dispositivos até que a Microsoft lance um patch oficial. Os usuários de dispositivos Windows 7 e Server 2008 R2 que não estão inscritos no ESU também podem usar esse hotfix.
Uma vulnerabilidade de elevação de privilégio local está relacionada à configuração incorreta de duas chaves de inicialização de serviço no registro. A exploração da falha permite que um invasor com acesso local ao sistema atacado eleve o nível de privilégio. O problema foi descoberto pelo pesquisador Clement Labro, que trabalha na área de segurança da informação, que anunciou publicamente sua descoberta no início deste mês.
Em sua pesquisa, ele detalhou como as permissões de chave de registro inseguras podem induzir o RPC Endpoint Mapper a carregar DLLs maliciosas. Isso permite que um invasor execute código arbitrário no contexto do serviço Windows Management Instrumentation com o nível de privilégio Sistema Local.
«Em suma, um usuário local sem direitos de administrador no computador simplesmente cria uma subchave em uma das chaves de registro problemáticas, preenche-a com certos valores e inicia o monitoramento de desempenho, o que permite que a DLL do invasor seja carregada usando o processo WmiPrvSE.exe e executando o código a partir dele ”, disse co-fundador da 0patch Mitja Kolsek.
Ele também observou que o hotfix lançado pela 0patch “sabota as operações de monitoramento de desempenho dos dois serviços afetados, Dnsclient e RpcEptMapper.” Se você precisar começar a monitorar o desempenho desses serviços, o patch pode ser desativado temporariamente.