El fallo de Windows 7 se debe a una mala configuración por defecto


Este fallo de seguridad, encontrado por un investigador independiente, se debe a una serie de permisos inseguros en las claves de registro de los servicios «RpcEptMapper» y «DnsCache«. Estos permisos permiten que un usuario local engañe al servicio RPC Endpoint Mapper del sistema operativo y consiga cargar archivos DLL maliciosos. Debido a esto, cualquier usuario no administrador podría llegar a ejecutar código remoto en el sistema, con permisos SYSTEM, a través del proceso WmiPrvSE.exe.

Desde el pasado mes de febrero, existe una herramienta de código abierto que cuenta con un exploit especialmente diseñado para aprovecharse del fallo en la clave RpcEptMapper. Por ello, se piensa que piratas informáticos podrían haber estado aprovechándose de este fallo a través de Internet. Este fallo de seguridad se ha mantenido en secreto un tiempo hasta que, por fin, Microsoft lo ha solucionado a escondidas. Por ello, aún ni siquiera está registrado como vulnerabilidad, es decir, no tiene un código CVE asignado.

Los parches de abril de 2021 para Windows 7 abordaban parcialmente este problema. La compañía ha cambiado los permisos de RpcEptMapper para evitar que nadie pueda hacer uso de esta entrada de registro sin permiso. Sin embargo, no ha modificado los permisos para DnsCache, por lo que el fallo sigue abierto.

Solución temporal al problema de seguridad

Microsoft no debería tardar mucho más tiempo en solucionar definitivamente estos problemas. Seguramente, con los próximos parches de seguridad para Windows 7 (solo para los usuarios dentro del programa de actualizaciones ESU), Microsoft tapará definitivamente estos dos fallos, dejando a los usuarios un poco más seguros.

Si no queremos esperar, y queremos protegernos de este problema cuanto antes, podemos recurrir a una herramienta externa conocida como 0Patch. Este software aplica una serie de microparches directamente en la memoria del sistema (no modifica sus archivos) para corregir todo tipo de vulnerabilidades. Dentro de la lista de parches podemos encontrar los de RpcEptMapper y DnsCache, tapando provisionalmente estos problemas hasta que Microsoft termine por lanzar la actualización de manera definitiva.

De todas formas, si a estas alturas aún seguimos usando un PC con Windows 7 o Server 2008 R2, la menor de nuestras preocupaciones debería ser un error de escalada de privilegios como este.



Fuente >  https://itm4n.github.io/windows-registry-rpceptmapper-eop/