Una vulnerabilidad en Dropbox permite a un atacante acceso a nivel sistema

Una vulnerabilidad en Dropbox permite a un atacante acceso a nivel sistema

por Jordi Bercial 1

Investigadores de seguridad han publicado, tras el respectivo periodo de 90 días, una vulnerabilidad de Dropbox que permite a un atacante iniciar un ataque de escalada de privilegios para obtener acceso al usuario SYSTEM de Windows 10 y así ejecutar comandos con este nivel de permisos.

Esta vulnerabilidad, descubierta el 18 de septiembre, se ha mantenido oculta al público durante 90 días tal y como se debe hacer con este tipo de vulnerabilidades, y pese a haber informado a Dropbox al inicio de este descubrimiento, la compañía no ha lanzado ningún parche para eliminar dicha vulnerabilidad.

Geeknetic Una vulnerabilidad en Dropbox permite a un atacante acceso a nivel sistema 1

Una cadena de errores es la responsable de este problema, empezando por que la instalación por defecto de Dropbox se ejecuta con permisos SYSTEM, los más altos en Windows, y por encima de cualquier administrador. Con ello, se instala el actualizador de Dropbox como un servicio y se activan dos tareas programadas, una de las cuales se ejecuta cada hora.

Siguiendo una serie de pasos detallados en la web de uno de los investigadores, podemos obtener acceso a una ventana del intérprete de comandos con permisos SYSTEM, de forma que tenemos control total sobre lo que ocurre en el sistema operativo y de todos y cada uno de sus archivos, siempre que tengamos acceso local al equipo.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!

Redactor del Artículo: Jordi Bercial

Jordi Bercial

Ávido entusiasta de la tecnología y la electrónica. Cacharreo con componentes de ordenador casi desde que aprendí a andar. Empecé a trabajar en Geeknetic tras ganar un concurso en su foro sobre redacción de artículos de hardware. Amante del Drift, la mecánica y la fotografía. No te cortes y deja un comentario en mis artículos si tienes alguna consulta.

Comentarios y opiniones sobre: Una vulnerabilidad en Dropbox permite a un atacante acceso a nivel sistema ¿Qué opinas? ¿Alguna pregunta?
Nitro V16 Q4 2024 Banner