Los atacantes atacan activamente a Windows Installer Zero-Day - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los atacantes atacan activamente a Windows Installer Zero-Day

Hola de nuevo. Yo soy Eduardo Arroyo y esta vez te voy a contar sobre Los atacantes atacan activamente a Windows Installer Zero-Day

Los atacantes atacan activamente a Windows Installer Zero-Day

El investigador descubrió una variante «más poderosa» de una falla de elevación de privilegios para la cual Microsoft lanzó un parche fallido a principios de este mes.

Los atacantes están explotando activamente una vulnerabilidad de Windows Installer de día cero que se descubrió cuando un parche lanzado por Microsoft para otra falla de seguridad resolvió de manera inadecuada el problema original no relacionado.

Durante el fin de semana, investigador de seguridad Abdelhamid Naceri descubrió una vulnerabilidad de elevación de Windows Installer rastreada como CVE-2021-41379 que Microsoft parcheó hace un par de semanas como parte de su Actualizaciones del martes de parches.

Sin embargo, después de buscar la solución, Naceri encontró una omisión y un error de elevación de privilegios de día cero aún más preocupante. El investigador publicó un Explotación de prueba de concepto (POC) El martes en GitHub para el error recién descubierto que, según él, funciona en todas las versiones actualmente compatibles de Windows.

Cuando se aprovecha, el POC, llamado InstallerFileTakeOver, le otorga al actor privilegios administrativos en Windows 10, Windows 11 y Windows Server al iniciar sesión en una máquina Windows con Edge instalado.

Investigadores del Grupo de Investigación e Inteligencia de Seguridad de Cisco Talos y otros confirmaron que el POC se puede reproducir, además de corroborar la evidencia de que los actores de amenazas ya estaban explotando el error.

«Esta vulnerabilidad afecta a todas las versiones de Microsoft Windows, incluyendo Windows 11 y Server 2022 completamente actualizados», según un Publicación de blog de Cisco Talos de

Jaeson Schultz, director técnico de Cisco Talos. «Talos ya ha detectado muestras de malware en circulación que intentan aprovechar esta vulnerabilidad».

Otros investigadores también confirmaron en Twitter que el POC funciona como se anuncia para proporcionar una escalada de privilegios locales.

«Puedo confirmar que funciona, local privado» tuiteó investigador de seguridad Kevin Beaumont, quien afirmó haberlo probado en Windows 10 20H2 y Windows 11. «El parche anterior lanzado por MS no solucionó el problema correctamente».

Como detalla Microsoft, CVE-2021-41379 es una vulnerabilidad de elevación de privilegios de Windows Installer con una puntuación baja en el sistema de puntuación de vulnerabilidad común.

«Un atacante podría eliminar solo los archivos objetivo en un sistema», según Notas de Microsoft en el defecto. «No obtendrían los privilegios para ver o modificar el contenido de los archivos».

Sin embargo, el parche de Microsoft para el error no abordó adecuadamente la vulnerabilidad, lo que le permitió a Naceri solucionarlo durante su análisis del parche, dijo en su publicación de GitHub del POC.

Sin embargo, ese bypass era una papa pequeña en comparación con una variante de CVE-2021-41379 que descubrió durante su investigación que es «más potente que el original», por lo que Naceri eligió publicar un POC de ese defecto, escribió. .

El código publicado por Naceri aprovecha la Lista de control de acceso discrecional (DACL) para Microsoft Edge Elevation Service para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI, lo que permite a un atacante ejecutar el código como administrador, explicó Schultz. Cisco Talos en su correo.

El POC asociado funciona en todas las instalaciones de Windows compatibles, incluidos Windows 11 y Server 2022 con el parche de noviembre de 2021, así como en las instalaciones de servidor, escribió Naceri.

«Si bien la política de grupo de forma predeterminada no permite a los usuarios estándar realizar ninguna operación de MSI, la función de instalación administrativa parece omitir la política de grupo por completo», escribió.

Debido a la «complejidad» de la vulnerabilidad, Naceri dijo que la mejor solución disponible para la falla en este momento «es esperar a que Microsoft publique un parche de seguridad.

«Cualquier intento de arreglar el binario directamente romperá el instalador de Windows», escribió, y agregó que las personas interesadas deberían «esperar y ver cómo Microsoft arreglará el parche nuevamente» antes de tomar cualquier acción de mitigación.

Un portavoz de Microsoft le dijo a BleepingComputer que la compañía está al tanto de la divulgación de Naceri y «hará lo que sea necesario» para mantener a los clientes «seguros y protegidos», según un informe publicado.

«Un atacante que utilice los métodos descritos ya debe tener acceso y la capacidad de ejecutar código en la máquina de la víctima objetivo», dijo el portavoz, según el informe.

.

Recuerda compartir en tus redes sociales para que tus amigos opinen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *