Con solo pulsar un botón consiguió acceso: cómo el teclado en pantalla otorgaba privilegios de administrador en Windows

Una vulnerabilidad en los mecanismos de accesibilidad de Windows permitió durante más de un año obtener control total sobre el sistema. El problema residía en el teclado en pantalla habitual y afectaba a casi todas las versiones de Windows compatibles.

La empresa MDSec informó sobre un error de escalada de privilegios encontrado, que recibió el nombre interno RegPwn. Los especialistas lo utilizaron activamente en operaciones de equipo rojo desde enero de 2025 y mantuvieron el hallazgo dentro de la empresa. La corrección apareció solo en la actualización de seguridad de marzo de Windows. El problema, presumiblemente, figura con el identificador CVE-2026-24291.

El error afectaba a Windows 10, Windows 11, así como a las versiones servidor del sistema: Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022 y Windows Server 2025.

El problema está relacionado con las funciones de accesibilidad de Windows, que ayudan a las personas con limitaciones de salud a trabajar con el sistema. El conjunto incluye el narrador de pantalla, el teclado en pantalla y otras herramientas. La configuración de estas funciones se guarda en el registro del sistema.

Cuando un usuario inicia, por ejemplo, el teclado en pantalla, el sistema crea una clave del registro con la configuración de la función y permite que un usuario estándar modifique los datos dentro de esa clave. Durante el inicio de sesión, Windows copia los parámetros desde la clave del registro del usuario a la clave del sistema. Esta operación la realiza el proceso winlogon.

La propia función de accesibilidad se ejecuta en nombre del usuario, pero con un nivel de integridad elevado gracias a una bandera especial del token de acceso. A primera vista ese esquema parece seguro. Sin embargo, el problema se manifiesta al pasar al escritorio protegido de Windows.

El escritorio protegido se usa, por ejemplo, cuando el usuario bloquea el equipo o inicia un programa con privilegios de administrador. En ese entorno solo pueden operar procesos confiables con privilegios del sistema. Los procesos normales de usuario no acceden a ese espacio.

Cuando se crea el escritorio protegido se inician dos procesos atbroker.exe. Uno se ejecuta en nombre del usuario, el otro en nombre de la cuenta del sistema SYSTEM. Primero el proceso del usuario vuelve a copiar las configuraciones de accesibilidad desde la clave del usuario al área del sistema del registro. Luego el proceso con privilegios SYSTEM traslada los valores más lejos: a la clave del registro que utiliza el teclado en pantalla.

Después de eso se inicia el proceso osk.exe con privilegios SYSTEM. El teclado en pantalla vuelve a leer la configuración y escribe los valores en la clave del registro del sistema, que sigue siendo accesible para escritura por parte de un usuario estándar.

Ese mecanismo abre la posibilidad de un ataque. El usuario controla la clave de origen del registro y puede sustituir la clave objetivo mediante un enlace simbólico del registro. Como resultado, el proceso con privilegios SYSTEM escribe datos en una clave del registro arbitraria.

Para explotar la vulnerabilidad, al atacante le basta con capturar el breve instante entre el inicio del teclado en pantalla y la escritura de datos. Para sincronizar la operación se usa un bloqueo del archivo oskmenu.xml. Cuando el sistema accede al archivo, el atacante sustituye la clave del registro del sistema por un enlace simbólico a la clave seleccionada.

En la demostración del ataque, los especialistas sobrescriben el parámetro ImagePath del servicio msiserver y a continuación inician el servicio mediante el objeto COM de MSI. El sistema ejecuta la ruta indicada ya con privilegios SYSTEM, lo que da control total del sistema. La corrección para RegPwn salió en la actualización de seguridad de marzo de Windows. Tras instalar la actualización, la cadena de operaciones descrita ya no permite escribir valores arbitrarios en el registro del sistema.