La vulnerabilidad reside en dos claves de registro mal configuradas para los servicios RPC Endpoint Mapper y DNSCache que forman parte de todas las instalaciones de Windows.
- HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper
- HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache
Con esta brecha en el sistema operativo que recordemos, finalizó el soporte el 14 de enero de 2020, un atacante con acceso a un punto de apoyo en los sistemas debilitados, puede modificar las claves del registro afectadas y activar una subclave que normalmente se emplea por el mecanismo de monitoreo de rendimiento de una aplicación en Windows.
Estas subclaves permiten a los desarrolladores cargar sus propios archivos DLL y así realizar un seguimiento de la aplicación. Y aunque en la actualidad, estos archivos DLL están muy acotados, en versiones como las afectadas aún era posible cargar archivos DLL personalizados que se ejecutaban con privilegios de nivel de SISTEMA.
Servicio Técnico
TECNOLOGICAS APLICADAS ARROBA S.L.
Telf. 976667698 - Fax 976667697