Project Zero de Google
ha publicado una prueba de concepto donde se demuestra una elevación de
privilegios en instalaciones por defecto de Windows 7 y 8 a traves de WebDAV,
catalogado de Importancia: 3 - Media
Recursos afectados
- Windows 8.1 Update
- Windows 7
- El servicio WebClient para WebDAV (el cual viene instalado por defecto) realiza autenticación NTLM cuando el servidor lo solicita, lo cual permite a un usuario local aprovechar esto para explotar un problema de reflexión de credenciales NTLM.
- Microsoft todavía no ha publicado ningún parche para esta vulnerabilidad.
- Local WebDAV NTLM Reflection Elevation of Privilege https://code.google.com/p/google-security-research/issues/detail?id=222
