Vulnerabilidad de elevación de privilegios en Windows, ¿Qué hacer?

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Ha sido reportada a Microsoft una vulnerabilidad de severidad alta que afecta a varias versiones de Windows. Esta vulnerabilidad podría permitir a un ciberatacante realizar una ejecución de código o la creación, modificación o eliminación de archivos.

Recursos afectados: 

  • Para sistemas de 32-bits, 64-bits y ARM64:
    • Windows 10 versión 1809;
    • Windows 10 versión 1909;
    • Windows 10 versión 2004;
    • Windows 10 versión 20H1;
    • Windows 10 versión 20H2.
  • Windows Server 2019 e instalación Server Core;
  • Windows Server, versión 2004 (instalación Server Core).

Solución: 

Microsoft aún no ha publicado actualización que solucione la vulnerabilidad. Hasta su publicación, se recomienda realizar las siguientes mitigaciones.

Estas mitigaciones son recomendables que sean abordadas por personal cualificado o equipo de soporte. 

  • Restringir el acceso a los contenidos de %windir%\system32\config
    • Desde la consola de comandos con privilegios de administrador:
      • icacls %windir%\system32\config\*.* /inheritance:e
    • Desde PowerShell con privilegios de administrador:
      • icacls $env:windir\system32\config\*.* /inheritance:e
  • Eliminar el Volume Shadow Copy Service (VSS), servicio para generar las copias shadow del sistema:
    1. Eliminar cualquier punto de restauración y volumen shadow anterior a la restricción de acceso a %windir%\system32\config.
    2. Crear un nuevo punto de restauración.

ATENCIÓN: Eliminar las copias shadow, podría afectar a las operaciones de restauración, incluyendo la posibilidad de restaurar datos con aplicaciones de terceros. La finalidad de eliminarlas es prevenir la posible explotación de esta vulnerabilidad. De forma general, siempre se recomienda actualizar lo antes posible el software a la última versión y activar las actualizaciones automáticas en caso de que no se estén aplicando por defecto.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web. Detalle: 

Logo Windows

La vulnerabilidad de severidad alta de elevación de privilegios es causada por permisos demasiado permisivos de las Listas de Control de Acceso (ACLs) en múltiples archivos del sistema, incluyendo la base de datos del Administrador de Cuentas de Seguridad (SAM). Un ciberdelincuente que explote la vulnerabilidad podría ejecutar código con privilegios de SYSTEM, así como la creación, modificación y eliminación de archivos.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos del INCIBE-CERT.

Info | INCIBE