Vulnerabilidad en el protocolo CTF puede explotarse con NotePad para tomar control del equipo

Microsoft ha publicado el parche para una vulnerabilidad crítica en el protocolo CTF de Windows que puede ser explotada con facilidad para tomar el control de los equipos. La amenaza puede explotarse en todas las versiones de Windows a partir de XP.

El investigador de seguridad Tavis Ormandy descubrió la amenaza en el módulo CTF de Windows, que forma parte del Marco de Servicios de Texto de Windows que se encarga de gestionar los modos de procesar los textos, el idioma del sistema y la organización de los caracteres en el teclado.

Según el investigador, el componente CTextFramework está lleno de vulnerabilidades que afectan a varias versiones de Windows, ya que comenzó a usarse en la era de Windows XP. “No es ninguna sorpresa que este complejo y oscuro protocolo esté repleto de vulnerabilidades de corrupción de memoria”, dijo Ormandy.

La vulnerabilidad se encuentra en el modo en que los clientes y servidores CTF se comunican entre sí, ya que los servidores no están debidamente autentificados. “No existe un control de acceso en CTF”, indicó Ormandy. “Cualquier aplicación, cualquier usuario −incluyendo los procesos en las cajas de arena− pueden conectarse a cualquier sesión CTF. Se espera que los clientes indiquen su hilo de identificación, identificación del proceso y HWND, pero no hay ningún mecanismo de autentificación en ejecución”.

Por lo tanto, la falla permite que los atacantes adquieran privilegios en el sistema e inserten sus propios códigos para tomar el control del equipo de forma remota. “Algunos comandos te piden que seas el administrador o tienen restricciones parecidas, pero puedes mentir sobre tu hilo de identificación o simplemente decir que eres el dueño de Windows y no te piden ninguna prueba para corroborarlo”, explicó Ormandy.

Un atacante que toma control de la sesión CTF de otra aplicación puede enviarle comandos haciéndose pasar por el servidor. Los atacantes pueden aprovechar esta falla para robar datos de otras aplicaciones o para ejecutar comandos haciéndose pasar por ellas. El atacante incluso puede tomar el control del equipo si las aplicaciones tienen privilegios.

Con la información recolectada, Ormandy desarrolló una herramienta de prueba de concepto para explotar el protocolo CTF mediante Notepad. De esta manera, ejecutó una línea de comando con privilegios del sistema. “El ataque más obvio es que un usuario sin privilegios inyecte comandos en la sesión de un administrador o lea las contraseñas de los usuarios que inician sesión”, explicó Ormandy. “Otro ataque interesante es tomar el control del diálogo de consentimiento UAC, que se ejecuta como NT AUTHORITY\SYSTEM. Un usuario común sin privilegios puede hacer que consent.exe se ejecute usando el verbo ‘runas’ en ShellExecute(), después simplemente se vuelve Sistema”.

No se sabe cómo se solucionará el problema de CTF en profundidad o cuál será la propuesta de modernización del protocolo, pero por lo pronto Microsoft ha parchado la falla denunciada por Ormandy y la ha publicado entre sus actualizaciones de seguridad de agosto. La vulnerabilidad está registrada como CVE-2019-1162.

Fuentes
Vulnerability in Microsoft CTF protocol goes back to Windows XP • ZDNet
Critical new vulnerability discovered in all versions of Windows dating back to XP • Silicon Angle
We checked and yup, it’s no longer 2001. And yet you can pwn a Windows box via Notepad.exe • The Register