(https://i.postimg.cc/qMp6JKSX/Zero_Day.png) (https://postimages.org/)
Un investigador de seguridad anónimo, que se siente traicionado, ha adoptado una postura de «sombrero gris» y ha publicado en GitHub un peligroso exploit de día cero para la escalada de privilegios en Windows.
Ejecute el archivo FunnyApp.exe y se convertirá en administrador de Windows. Un individuo desconocido acaba de publicar un exploit de día cero para elevar privilegios en el sistema operativo Windows. El fallo de seguridad aún no ha sido corregido. El autor de la filtración sugiere que esta situación podría haberse evitado fácilmente si Microsoft hubiera actuado de manera diferente.
«Ejecutar el comando "whoami" y ver "SYSTEM" es una sensación totalmente distinta», comentó uno de los usuarios de GitHub en referencia al exploit funcional y aún sin parchear.
Ocho de los 72 proveedores de ciberseguridad presentes en VirusTotal ya han marcado el archivo como malicioso. No obstante, dado que el código de prueba de concepto (en lenguaje C) se encuentra disponible públicamente, los cibercriminales pueden recompilar innumerables variantes maliciosas con distintos hashes únicos, logrando así eludir la detección basada en firmas.
(https://i.postimg.cc/fLd2tM8c/Virus-Total-have-already-flagged-the-file-as-malicious.png) (https://postimg.cc/Pptz0nsJ)
Investigadores de seguridad confirman que el exploit de escalada local de privilegios es válido.
Justin Elzem, director de tecnología (CTO) en TrustedSEC, explica que la vulnerabilidad afecta a Windows Defender, el cual cuenta con los privilegios de sistema (SYSTEM) más elevados.
«Se trata de una condición de carrera de tipo TOCTOU (del inglés *time-of-check to time-of-use*) o mediante enlaces simbólicos (*symlinks*) en el mecanismo de actualización de firmas de Windows Defender; un patrón clásico en el que un servicio privilegiado (WD, ejecutándose como SYSTEM) sigue una ruta de archivo que un usuario con privilegios bajos puede redirigir a mitad de la operación utilizando uniones (*junctions*) y enlaces simbólicos del gestor de objetos», publicó Elzem en X.
(https://i.postimg.cc/02VfN69f/Elzem-posted-on-X.png) (https://postimg.cc/dLTdHVkk)
Will Dormann, analista principal sénior de vulnerabilidades en Tharros, confirmó la prueba de concepto (PoC) ejecutando el código y obteniendo privilegios de sistema.
https://infosec.exchange/@wdormann/116358064691025711
Sin embargo, el informe señala que el código no es 100 % fiable.
«En la plataforma de servidor, simplemente escala de un usuario sin privilegios de administrador a un administrador con privilegios elevados, en lugar de alcanzar el nivel SYSTEM», comentó Dormann.
El repositorio de GitHub ya cuenta con más de 100 bifurcaciones (*forks*) y cerca de 300 estrellas, lo que sugiere que posibles atacantes podrían estar aprovechándose de ello en este momento.
Un filtrador, enfadado con Microsoft
El *exploit* fue publicado por una cuenta nueva en GitHub. La persona detrás de ella también realizó publicaciones en X y Blogger, expresando su enfado con el gigante tecnológico.
La primera publicación en Blogspot, difundida el 26 de marzo, tenía un tono amenazante:
«Nunca quise reabrir un blog ni crear una nueva cuenta de GitHub para filtrar código. Pero alguien violó nuestro acuerdo y me dejó en la calle, sin nada. Sabían que esto ocurriría y, aun así, me apuñalaron por la espalda; esta es su decisión, no la mía», publicó el filtrador, quien utiliza el alias «deadeclipse666».
El *exploit* en sí fue publicado el 2 de abril de 2026. El público tardó un tiempo en percatarse de ello.
«No estaba yendo de farol con Microsoft, y lo estoy haciendo de nuevo. A diferencia de ocasiones anteriores, no voy a explicar cómo funciona esto; que lo averigüen ustedes, "genios"», publicó el *hacker* de sombrero gris.
Mencionó específicamente al Centro de Respuesta de Seguridad de Microsoft (MSRC) y a su vicepresidente de ingeniería, enviándoles un «enorme agradecimiento» por hacer esto posible.
El filtrador bautizó al *exploit* como «BlueHammer». Reconoce que el código contiene «algunos errores» que podrían impedir su funcionamiento, y sugiere que tal vez los corrija más adelante.
Las publicaciones insinúan la existencia de una relación previa con Microsoft que terminó mal; posiblemente se tratara de un acuerdo formal o informal de recompensa por errores (*bug bounty*) o de divulgación responsable con la compañía.
«Microsoft tiene el compromiso con sus clientes de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los usuarios lo antes posible. También respaldamos la divulgación coordinada de vulnerabilidades, una práctica ampliamente adoptada en la industria que ayuda a garantizar que los problemas sean investigados y abordados minuciosamente antes de su divulgación pública, apoyando así tanto la protección de los clientes como a la comunidad de investigación en seguridad», declaró un portavoz de Microsoft a Cybernews.
Dormann reconoció que las prácticas del MSRC están cambiando, y no precisamente para mejor.
«Solía ser excelente trabajar con el MSRC. Pero, para ahorrar dinero, Microsoft despidió al personal cualificado, dejando en su lugar a meros seguidores de diagramas de flujo. No me sorprendería que Microsoft hubiera cerrado el caso después de que el informante se negara a enviar un video del *exploit*, dado que, al parecer, ese es ahora un requisito del MSRC».
Microsoft explica que el MSRC solicita videos «en ocasiones» para ayudar a comprender y evaluar mejor el impacto, pero que las demostraciones en video no constituyen un requisito para el envío de informes de vulnerabilidades.
Fuente:
CyberNews
https://cybernews.com/security/windows-zero-day-exploit-dropped-by-rogue-researcher/