Los atacantes están tratando activamente de explotar una nueva variante del privilegio recientemente descubierto de escalar privilegios para ejecutar potencialmente código arbitrario en sistemas completamente parcheados, mostrando nuevamente cómo los adversarios se están moviendo rápidamente para armar un exploit disponible públicamente.
Cisco Talos reveló que «ha detectado malware en la naturaleza que intenta explotar esta vulnerabilidad».
Rastreado como CVE-2021-41379 y descubierto por el investigador de seguridad Abdelhamid Naceri, la elevación de privilegios que afectaba al componente de software Windows Installer se resolvió originalmente como parte de las actualizaciones de Microsoft Patch de noviembre de 2021.
Sin embargo, en el caso de un parche insuficiente, Naceri descubrió que no solo era posible eludir el parche implementado por Microsoft, sino también lograr escalada de permisos locales a través de un error de día cero recién descubierto.
La explotación de prueba de concepto (PoC) llamada «InstallerFileTakeOver» funciona sobrescribiendo la lista de control de acceso (DACL) para el servicio de elevación de Microsoft Edge y reemplazando cualquier archivo ejecutable en el sistema con un archivo de instalación MSI, que permite a un atacante ejecutar código con privilegios de SISTEMA.
Un atacante con privilegios administrativos podría explotar el acceso para obtener el control total del sistema comprometido, incluida la capacidad de descargar software adicional y modificar, eliminar o filtrar información confidencial almacenada en la computadora.
«Puedo confirmar que funciona, privacidad local. Probado en Windows 10 20H2 y Windows 11. El parche anterior lanzado por MS no resolvió el problema correctamente». tuiteó investigador de seguridad Kevin Beaumont, confirmando los hallazgos.
Naceri señaló que la última versión de CVE-2021-41379 es «más poderosa que la original» y que la mejor solución sería esperar a que Microsoft publique un parche de seguridad para el problema «debido a la complejidad del problema». vulnerabilidad.»
«Somos conscientes de esta revelación y haremos lo que sea necesario para mantener a nuestros clientes seguros y protegidos», dijo un portavoz de Microsoft a The Hacker News. «Un atacante que utilice estos métodos ya debe tener acceso y la capacidad de ejecutar código en la computadora de la víctima objetivo».
Actualizaciones: 0patch ha lanzado un microparche gratuito para corregir el error de día cero «InstallerFileTakeOver» en el componente Windows Installer, que podría ser explotado por un usuario local sin privilegios para sobrescribir un ejecutable del sistema existente y luego modificar arbitrariamente su contenido para obtener privilegios de SISTEMA.
«No se necesita mucha imaginación para ver que hacerse cargo de un archivo ejecutable que es utilizado por un proceso privilegiado puede hacer que se ejecute un código con el privilegio de dicho proceso», dijo Mitja Kolsek de 0patch en una publicación publicada el jueves.
