El grupo de investigadores que descubrió la vulnerabilidad (CVE-2020-1509) de elevación de privilegios en el servicio del subsistema de autoridad de seguridad local de Windows (LSASS) han advertido recientemente que Microsoft no la abordó apropiadamente.
Como descripción oficial de Microsoft lanzada durante el patch tuesday, dice que (CVE-2020-1509) una vulnerabilidad de elevación de privilegios existe en el “Local Security Authority Subsystem Service (LSASS)” cuando un atacante autenticado envía una petición de autenticación especialmente diseñada. Un atacante remoto que explote esta vulnerabilidad exitosa-mente, podrá causar una elevación de privilegios en el LSASS del sistema objetivo. También agregaron que la actualización de seguridad corregía la vulnerabilidad cambiando la forma en que LSASS maneja las solicitudes de autenticación especialmente diseñadas.
Como requisito para explotar la vulnerabilidad el atacante necesitaba haber obtenido credenciales de Windows para la red local, al desencadenar la falla enviando solicitudes de autenticación especialmente diseñadas.
Según los expertos que descubrieron la vulnerabilidad, la falla se debe a que el LSASS no aplica de forma correcta la capacidad de la autenticación empresarial que permite que cualquier AppContainer realice la autenticación de red con las credenciales del usuario. El AppContainer tiene una capacidad heredada que proporciona acceso al proveedor de soporte de seguridad (SSP), así como a las funciones de su interfaz (SSPI)(La interfaz del proveedor de soporte de seguridad tiene la función de simplificar la instalación de aplicaciones de líneas de negocios dentro de ambientes empresariales). Cuando el objetivo especificado en la llamada es un proxy, se debe permitir la autenticación; pero según uno de los expertos dicha autenticación estaría permitida incluso si el nombre de la red no coincide con un proxy registrado.
Según el análisis de los investigadores, si un atacante logra explotar esta vulnerabilidad podrá autenticarse en los recursos expuestos en la red sin ninguna restricción, saltando los chequeos de SPN y la firma SMB. Así como también a los servicios de “localhost”, aunque con algunas limitaciones.
Un experto incluso publicó una prueba de concepto (PoC) para elevar sus privilegios a través de la omisión de la autenticación empresarial, en ella conecta con el servidor local SMB y enumera los recursos expuestos compartidos en la red. Cabe destacar que dicha PoC fue publicada por el experto un día después del Patch Tuesday de Microsoft, en la que se suponía que se había abordado la vulnerabilidad.
COMENTARIOS