Los creadores de malware están explotando una vulnerabilidad de día cero de Microsoft Windows Installer revelada recientemente. Revelada públicamente por el investigador de seguridad Abdelhamid Naceri en una publicación en Github el domingo pasado, la vulnerabilidad permite la escalada de privilegios locales desde los privilegios de nivel de usuario hasta el nivel de SISTEMA, la autorización de seguridad más alta posible. Según el investigador de seguridad, este exploit funciona en todas las versiones compatibles de Windows, incluidas las instalaciones de Windows 11 y Windows Server 2022 con parches completos. Antes de publicar el exploit en GitHub, Naceri lo lanzó primero a Microsoft y trabajó con la empresa para analizar la vulnerabilidad.
Microsoft introdujo un CVE-2021-41379 de mitigación de exploits de día cero en el martes de parches de noviembre de 2021, pero aparentemente no pudo solucionar el problema por completo. Luego, Naceri tomó su publicación en GitHub para proporcionar un exploit de prueba de concepto de la vulnerabilidad que funciona incluso después de que se hayan aplicado las mitigaciones de Microsoft.
Para los más técnicos, el exploit Naceri aprovecha la lista de control de acceso discrecional (DACL) para Microsoft Edge Elevation Service, esto permite que un atacante reemplace cualquier archivo ejecutable en el sistema con un archivo MSI y ejecute el código como administrador. BleepingComputer probó el exploit de Naceri y pudo abrir un símbolo del sistema con permisos del SISTEMA desde una cuenta con privilegios de bajo nivel ‘Predeterminado’.
El investigador compartió una captura de pantalla de la línea de comandos de Windows de escalada de privilegios. (Crédito de la imagen: Abdelhamid Naceri)
La empresa de seguridad cibernética Cisco Talos ha publicado una declaración sobre el exploit, informando que ha visto casos de malware en la naturaleza que intentan explotar las fallas. Como dijo el jefe de alcance de Cisco Talos, Nick Biasini, a BleepingComputer, estos intentos de exploits parecen estar enfocados en probar y ajustar exploits en preparación para ataques a gran escala.
Naceri explicó que «la prueba de concepto es sumamente confiable y no requiere nada, por lo que funciona en cualquier intento». Sin embargo, cuando se trata de mitigaciones, el investigador le pasa la pelota a Microsoft: «La mejor solución alternativa disponible en el momento de escribir este artículo es esperar [for] Microsoft lanzará un parche de seguridad debido a la complejidad de esta vulnerabilidad «, explicó Naceri.
El investigador también mencionó que su trabajo para eludir los intentos del parche CVE-2021-41379 de Microsoft lo llevó a encontrar dos posibles vulnerabilidades: la publicitada que informamos aquí, y una segunda que también desencadena un comportamiento único en el servicio de instalador de Windows y habilita el mismo tipo de técnica de escalada de privilegios. Naceri dijo que estará esperando a que Microsoft solucione por completo la vulnerabilidad CVE-2021-41379 antes de lanzar el segundo método de explotación.
Al respecto, un portavoz de Microsoft dijo a BleepingComputer: «Estamos al tanto de la divulgación y haremos todo lo necesario para mantener a nuestros clientes seguros y protegidos. Un atacante que utilice los métodos descritos ya debería tener acceso y la capacidad de ejecutar código en un objetivo». máquina de la víctima ”. Y aunque Microsoft inicialmente clasificó esta vulnerabilidad como de gravedad media (con una puntuación base CVSS de 5,5 y una puntuación de tiempo de 4,8), el hecho de que el código sea funcional de prueba de concepto ya está suelto y ser explotado activamente por los desarrolladores de malware debería reforzar la gravedad de la vulnerabilidad y solicitar una solución más rápida y decisiva a Microsoft.
