Buscar
  • atapia73

Los atacantes se dirigen activamente a Windows Installer de día cero


El investigador descubrió una variante "más poderosa" de una falla de elevación de privilegios para la cual Microsoft lanzó un parche fallido a principios de este mes.


Los atacantes están explotando activamente una vulnerabilidad de día cero de Windows Installer que se descubrió cuando un parche que Microsoft emitió para otro agujero de seguridad solucionó inadecuadamente el problema original y no relacionado.

Durante el fin de semana, el investigador de seguridad Abdelhamid Naceri descubrió una vulnerabilidad de elevación de privilegios de Windows Installer rastreada como CVE-2021-41379 que Microsoft parcheó hace un par de semanas como parte de sus actualizaciones del martes de parches de noviembre.


Sin embargo, después de examinar la solución, Naceri encontró un bypass, así como un error de elevación de privilegios de día cero aún más preocupante. El investigador publicó un exploit de prueba de concepto (POC) el martes en GitHub para el error recién descubierto que, según dijo, funciona en todas las versiones actualmente compatibles de Windows.


Si se explota, el POC, llamado InstallerFileTakeOver, otorga a un actor privilegios de administración en Windows 10, Windows 11 y Windows Server cuando inicia sesión en una máquina Windows con Edge instalado.


La investigación de pares confirma los ataques activos y de explotación


Los investigadores de Cisco Talos Security Intelligence and Research Group, así como otros, confirmaron que el POC se puede reproducir, así como la evidencia corroboradora de que los actores de amenazas ya estaban explotando el error.


"Esta vulnerabilidad afecta a todas las versiones de Microsoft Windows, incluidos Windows 11 y Server 2022 completamente parcheados", según una publicación en el blog de Cisco Talos de

Jaeson Schultz, líder técnico de Cisco Talos. "Talos ya ha detectado muestras de malware en la naturaleza que intentan aprovechar esta vulnerabilidad".


Otros investigadores también confirmaron en Twitter que el POC funciona como se anuncia para ofrecer una escalada de privilegios locales.


"Puede confirmar que esto funciona, priv esc local", tuiteó el investigador de seguridad Kevin Beaumont,quien dijo que lo probó en Windows 10 20H2 y Windows 11. "El parche anterior que MS emitió no solucionó el problema correctamente".


Descubrimiento y más detalles


Según lo detallado por Microsoft, CVE-2021-41379 es una vulnerabilidad de elevación de privilegios de Windows Installer con una calificación de baja en el sistema de puntuación de vulnerabilidades comunes.


"Un atacante solo podría eliminar archivos específicos en un sistema", según las notas de Microsoft sobre la falla. "No obtendrían privilegios para ver o modificar el contenido de los archivos".

Sin embargo, el parche de Microsoft para el error no solucionó la vulnerabilidad correctamente, lo que permitió a Naceri omitirla durante su análisis del parche, dijo en su publicación de GitHub del POC.


Sin embargo, ese bypass fue una pequeña patata en comparación con una variante de CVE-2021-41379 que descubrió durante su investigación que es "más poderosa que la original", por lo que Naceri eligió publicar un POC de esa falla en su lugar, escribió.


El código que Naceri lanzó aprovecha la lista de control de acceso discrecional (DACL) para Microsoft Edge Elevation Service para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI, lo que permite a un atacante ejecutar código como administrador, explicó Schultz de Cisco Talos en su publicación.


Espere el parche


El POC asociado funciona en todas las instalaciones de Windows compatibles, incluidas Windows 11 y Server 2022 con el parche de noviembre de 2021, así como en instalaciones de servidores, escribió Naceri.


"Si bien la política de grupo de forma predeterminada no permite a los usuarios estándar realizar ninguna operación MSI, la característica de instalación administrativa parece estar omitiendo por completo la política de grupo", escribió.


Debido a la "complejidad" de la vulnerabilidad, Naceri dijo que la mejor solución disponible para la falla en este momento "es esperar a que Microsoft lance un parche de seguridad.


"Cualquier intento de parchear el binario directamente romperá el instalador de Windows", escribió, y agregó que los afectados deben "esperar y ver cómo Microsoft volverá a atornillar el parche" antes de tomar cualquier acción de mitigación.


Un portavoz de Microsoft dijo a BleepingComputer que la compañía está al tanto de la divulgación de Naceri y "hará lo que sea necesario" para mantener a los clientes "seguros y protegidos", según un informe publicado.


"Un atacante que use los métodos descritos ya debe tener acceso y la capacidad de ejecutar código en la máquina de una víctima objetivo", dijo el portavoz, según el informe.


FUENTE:Los atacantes se dirigen activamente a los | de día cero de Windows Installer Threatpost

11 vistas0 comentarios