Un fallo en el kernel permite que se eluda la seguridad UAC de Windows

Microsoft está investigando una serie de informaciones sobre una vulnerabilidad no parcheada en el kernel de Windows que podría ser utilizada por un atacante para evitar una importante medida de seguridad del sistema operativo.

Aunque una empresa de seguridad se ha referido al fallo como una “pesadilla”, Microsoft ha restado importancia a la vulnerabilidad recordando que los hackers necesitan un segundo exploit para lanzar ataques remotos.

El exploit fue descubierto el pasado miércoles, el mismo día en que la prueba de concepto se hizo pública, y permite a un atacante evadir el Control de Cuentas  de Usuario, UAC por sus siglas en inglés, en Windows Vista y Windows 7. UAC, frecuentemente criticada cuando debutó en Vista, muestra mensajes que los usuarios tienen que leer y a los que tienen que reaccionar, y su objetivo era el de impedir la instalación de malware sin conocimiento del usuario.

El fallo está en el archivo win32k.sys, que forma parte del kernel de Windows. Varias empresas de seguridad, incluida Sophos y Vupen, han confirmado la vulnerabilidad y afirman que el código de ataque que se ha lanzado públicamente funciona en sistemas que ejecuten Vista, Windows 7 y Server 2008.

Para tranquilidad de los usuarios destacar que los hackers no pueden utilizar el exploit de para comprometer de manera remota el exploit porque se requiere un acceso local.

La efectividad de la UAC ha sido cuestionada en varias ocasiones. El año pasado Microsoft modificó la UAC de Windows 7 después de solucionar un par de fallos que podrían ser utilizados por los hackers para deshabilitar esta función.

Silicon Redacción

La redacción de Silicon está compuesta por periodistas y redactores especializados en Tecnologías de la Información y Comunicaciones.

Recent Posts

9 tendencias para 2025 en el campo de la ciberseguridad

Proopoint cree que el año que viene los delincuentes manipularán datos privados asociados a la…

51 mins ago

El sector TIC español invertirá más en innovación a lo largo del próximo año

Las implantación de nuevas herramientas, la optimización de productos ya existentes y la adopción de…

2 horas ago

8 de cada 10 responsables de seguridad optan por la IA generativa basada en plataformas

La mayoría renovaría por completo su infraestructura de seguridad para adoptar soluciones totalmente integradas.

3 horas ago

PUE DATA: “Sin duda, el 2025 la explosión de los espacios de datos”

Entrevistamosa Sergio Rodríguez, CTO de PUE DATA, para hablar del "boom" de los espacios de…

4 horas ago

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

2 días ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

3 días ago