Según el portal de estadísticas Statista, hasta el primer semestre del año en curso, un tercio de los equipos conectados a Internet tenían como sistema operativo Windows 7, y según datos de Proactivanet, aproximadamente uno de cada cinco equipos corporativos sigue haciendo uso de este, aunque en enero del presente año Microsoft dejó de darle soporte.

El investigador Clément Labro descubrió una vulnerabilidad relacionada a una mala configuración en las llaves de registro de los servicios RPC Endpoint Mapper y DNSCache, que se encuentran presentes en las instalaciones de todos los sistemas operativos Windows. Dicha vulnerabilidad afecta a las versiones Windows 7 y Windows Server 2008 R2.

La vulnerabilidad reside en que un atacante podría modificar las claves de registro mencionadas para activar una subclave. Normalmente estas subclaves se utilizan para monitoreo de rendimiento, sin embargo, un atacante podría usarlas para cargar sus propias DLL’s y usar alguna herramienta personalizada para monitorear el rendimiento. La razón por la que esta vulnerabilidad no afecta a todas las versiones de Windows es por los privilegios. En las versiones afectadas se pueden cargar las DLL´s mencionadas y correrlas con privilegios del sistema, y en las versiones más recientes sólo se pueden realizar con privilegios limitados.

Se desconoce si Windows lanzará alguna actualización o parche de seguridad para mitigar esta brecha dado que ya no está dando soporte a estos sistemas operativos de forma gratuita. Sin embargo, a modo de recomendación, debemos mantener todos nuestros sistemas e infraestructuras con los últimos parches y actualizaciones de seguridad, así como hacer uso de antimalware, firewall y demás herramientas de seguridad para proteger nuestra organización.

Referencias:
https://www.proactivanet.com/blog/gestion-de-seguridad/nueva-vulnerabilidad-zero-day-en-windows-7/
https://www.zdnet.com/article/security-researcher-accidentally-discloses-windows-7-and-windows-server-2008-zero-day/