Vulnerabilidad Zero-day para Microsoft Windows (CVE-2021-40449)

Descripción

 

La vulnerabilidad Zero-day para Windows (CVE-2021-40449) es explotada mediante la implementación de un use-after-free en el controlador del kernel de Win32K que permitiría un escalado de privilegios en el sistema objetivo.

 

Esta vulnerabilidad se detectó siendo explotada de forma activa en la naturaleza junto a diferentes cargas útiles de malware denominadas MysterySnail relacionadas a campañas de ciberespionaje centradas en empresas del sector defensa, gobierno y TI.

 

 

 

Detalle técnico

 

La vulnerabilidad (CVE-2021-40449) permite la implementación de un ataque mediante un “use-after-free” en la función NTGdiResetDC de Win32K, la causa principal de esta vulnerabilidad está en la capacidad de establecer “callbacks” en modo usuario y ejecutar funciones API no previstas durante la ejecución de estas.

 

El proceso de explotación se podría resumir en:

 

1. Ejecución de una llamada en modo usuario a ResetDC que ejecuta syscall NtGdiResetDC y su función interna GreResetDCInternal. Esta función obtiene un puntero a un objeto PDC y luego realiza una llamada a la función hdcOpenDCW.
2. La función hdcOpenDCW realiza una “callback” en modo de usuario y se puede usar para ejecutar ResetDC para el mismo identificador por segunda vez.
3. Si un exploit ejecuta ResetDC durante una devolución de llamada, NtGdiResetDC y GreResetDCInternal se ejecutan nuevamente para el mismo DC.
4. Si un exploit ignora todas las devoluciones de llamada durante la segunda llamada a GreResetDCInternal, esta función se ejecutará según lo previsto. Creará un nuevo DC y eliminará el anterior (el objeto PDC se destruirá).
5. En la devolución de llamada, una vez completada la segunda llamada ResetDC, el exploit puede recuperar la memoria liberada del objeto PDC y finalizar la ejecución de la devolución de llamada.
6. Después de la ejecución de la devolución de llamada, la función hdcOpenDCW vuelve a GreResetDCInternal, pero el puntero recuperado en el paso (1) ahora es un puntero colgante: apunta a la memoria del objeto PDC previamente destruido.
7. En la última etapa de la ejecución de GreResetDCInternal, se puede utilizar un objeto PDC con formato incorrecto para realizar una llamada a una función del kernel arbitraria con parámetros controlados.

 

La lista de productos afectados por el (CVE-2021-40449) va desde las versiones de servidor y cliente de Windows de Windows 7 y Windows Server 2008 hasta las últimas, incluyendo Windows 11 y Windows Server 2022 sin parchear:

 

• Microsoft Windows Vista
• Microsoft Windows 7
• Microsoft Windows 8
• Microsoft Windows 8.1
• Microsoft Windows Server 2008
• Microsoft Windows Server 2008 R2
• Microsoft Windows Server 2012
• Microsoft Windows Server 2012 R2
• Microsoft Windows 10 (compilación 14393)
• Microsoft Windows Server 2016 (compilación 14393)
• Microsoft Windows 10 (compilación 17763)
• Microsoft Windows Server 2019 (compilación 17763)

 

En relación al malware implementado en las campañas de ciberespionaje apuntadas previamente, se trata de un RAT denominado MysterySnail previamente desconocido, fuentes apuntan a una baja sofisticación del mismo con funciones de “infostealer” y a su relación al grupo APT de habla china conocido como IronHusky.

 

Este está diseñado para recopilar y extraer información del sistema comprometido previo a establecer conexión con el C2.

 

La información recopilada de la máquina víctima incluye:

 

• Nombre del computador
• Página de códigos OEM actual / identificador predeterminado
• Nombre del producto de Windows
• Dirección IP local
• Nombre de usuario que inició sesión
• Nombre de campaña

 

Entre sus características, se encuentran además la capacidad de generar procesos o eliminarlos, lanzar shells interactivas, e incluso la posibilidad de actuar como un proxy.

 

 

Recomendaciones