Se trata de una vulnerabilidad de escalación de privilegios local que fue parcheada en la actualización de Microsoft de enero de 2022 y que afecta a todas las versiones de Windows 10.
En el primer paquete de actualizaciones que lanzó Microsoft este 2022 para sus respectivos productos la compañía reparó 97 vulnerabilidades y seis vulnerabilidades zero-day. Del total de fallos corregidos, 41 corresponden a vulnerabilidades de escalación de privilegios. Una de ellas, la CVE-2022-21882, fue catalogada como importante según la severidad y recientemente se conoció la publicación de varios exploit como prueba de concepto y distintos investigadores confirmaron que funcionan correctamente.
La vulnerabilidad radica en el driver Win32k.sys, presente en todas las versiones de Windows 10 que no hayan instalado la actualización de enero, y es de explotación local, lo que significa que para explotar el fallo un atacante necesita acceso local. En caso de ser explotada satisfactoriamente, la vulnerabilidad permitirá a un usuario sin autorización escalar privilegios y obtener permisos de administrador en el equipo comprometido, lo cual le permitirá moverse libremente dentro de la red, crear nuevos usuarios y ejecutar comandos dentro del sistema comprometido que requieren privilegios de administrador.
Lectura recomendada: PwnKit: nueva vulnerabilidad en Linux que permite acceso root
Lo que ocurrió recientemente fue que se publicaron varois exploits para la CVE-2022-21882. Uno de los especialistas que confirmó que uno de ellos funciona y que efectivamente otorga privilegios de administrador fue Will Dorman, del CERT Coordination Center.
Por otra parte, RyeLv, el investigador que reportó a Microsoft el fallo en Win32k.sys y que publicó un análisis técnico del fallo, explicó en su cuenta de Twitter que la vulnerabilidad está relacionada con el parche para “bypassear” otra vulnerabilidad (CVE-2021-1732) que había sido parcheada en 2021 y explotada activamente por grupos de APT.
Regarding the just-fixed CVE-2022-21882:
win32k privilege escalation vulnerability,
CVE-2021-1732 patch bypass,easy to exploit,which was used by apt attacks— b2ahex (@b2ahex) January 12, 2022
Si bien muchos usuarios han tenido inconvenientes para instalar la actualización de enero de 2022, se recomienda a los administradores intentar instalar los parches lanzados en enero para minimizar los riesgos.