Google revela vulnerabilidad de Windows presente hace 20 años

Un investigador de seguridad de google reveló detalles de una vulnerabilidad de alta severidad presente hace 20 años sin parchar en todas las versiones de Windows desde Windows XP hasta Windows 10.

El error se encuentra en la forma que los clientes MSCTF se comunican, permitiendo que un usuario con pocos privilegios o una aplicación de sandbox tenga acceso de lectura y escritura en una aplicación de nivel superior.

MSCTF es un módulo de Text Services Framework (TSF) de Windows el cual administra cosas tales como métodos de entrada, distribuciones de teclado, procesamiento de texto y reconocimiento de la voz.

En resumen, cuando se inicia la sesión en una máquina de Windows, carga un monitor del servicio CTF, el cual trabaja como un administrador central para manejar las comunicaciones entre todos los clientes, lo que realmente son ventanas para cada proceso ejecutándose.

Travis Ormandy de Google Project Zero, descubrió que ya que no hay control de acceso o cualquier otro método de autenticación para esta interacción; cualquier aplicación, usuario, o sandbox pueden:

Conectarse desde ctfmon en puertos ALPC a través de todas las sesiones.

Leer y escribir data de cualquier ventana, desde cualquier otra sesión.

Engañar con su ID de hilo, ID de proceso y HWND.

Presentarse como un servicio CTF, seguir otras aplicaciones, aún con privilegios superiores, conectarlas o salir del sandbox y escalar privilegios.

Si es explotada, esta vulnerabilidad en el protocolo CTF podría permitir que atacantes eviten fácilmente la UIPI (User Interface Privilege Isolation), dejando que un proceso sin privilegios realice lo siguiente:

Lectura de texto sensible desde cualquier ventana en otra aplicación, incluyendo contraseñas desde las cajas de diálogo.

Obtener privilegios de sistema

Tomar control de diálogo UAC

Enviar comandos a la consola de Administrador

Escapar sandbox IL/AppContainer al enviar input a ventanas sin sandbox.

Esta vulnerabilidad se encuentra remediada mediante una actualización de seguridad de Microsoft publicada el 13 de agosto de 2019, bajo el CVE-2019-1162. Disponible en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1162.

Fuentes:

https://unaaldia.hispasec.com/2019/08/google-revela-un-fallo-en-todas-las-versiones-de-windows-desde-hace-20-anos.html

https://googleprojectzero.blogspot.com/2019/08/down-rabbit-hole.html

https://thehackernews.com/2019/08/ctfmon-windows-vulnerabilities.html