Nuevo día cero de Windows con exploit público

23 Noviembre 2021
Crítico

El investigador de seguridad Abdelhamid Naceri publicó ayer un exploit público en GitHub que permite a cualquier persona obtener derechos administrativos en dispositivos Windows utilizando un exploit sin parches. El exploit funciona en todas las versiones de cliente y servidor compatibles de Windows de acuerdo con Naceri, incluidos Windows 11 y Windows Server 2022 con los últimos parches.

Parcheo Incorrecto

CVE-2021-41379 Vulnerabilidad de elevación de privilegios de Windows Installer

Microsoft corrigió el CVE-2021-41379 en los parches de noviembre de 2021, una vulnerabilidad de elevación de privilegios de Windows Installer, que también fue descubierta por Naceri.

La vulnerabilidad existe debido a que la aplicación no impone correctamente las restricciones de seguridad en Windows Installer, lo que lleva a que las restricciones de seguridad omitan y eliminen archivos específicos en un sistema. De ser aprovechada esta vulnerabilidad permitiría a los actores de amenazas con acceso limitado a un dispositivo comprometido poder elevar fácilmente sus privilegios para ayudar a propagarse lateralmente dentro de la red.

Naceri encontró una variante del exploit parcheado "durante el análisis de CVE-2021-41379", y señaló que el problema inicial no se parcheó correctamente. Decidió no publicar un bypass para el parche que lanzó Microsoft, afirmando que la nueva variante que publicó en su lugar "es más poderosa que la original".

Prueba de concepto

Abdelhamid Naceri publicó un exploit de prueba de concepto funcional para el nuevo día cero en  GitHub, explicando que funciona en todas las versiones compatibles de Windows.

Con esta vulnerabilidad, los actores de amenazas con acceso limitado a un dispositivo comprometido pueden elevar fácilmente sus privilegios para ayudar a propagarse lateralmente dentro de la red.

Abdelhamid Naceri describe la prueba de concepto de la siguiente manera:

“Me he asegurado de que la prueba de concepto sea extremadamente confiable y no requiera nada, por lo que funciona en cada intento. La prueba de concepto sobreescribe la DACL del servicio de elevación de Microsoft Edge y se copia a sí misma en la ubicación del servicio y la ejecuta para obtener privilegios elevados.

Si bien es posible que esta técnica no funcione en todas las instalaciones, es posible que las instalaciones de Windows, como el servidor 2016 y 2019, no tengan el servicio de elevación. Deliberadamente dejé abierto el código que toma el control del archivo, por lo que cualquier archivo especificado en el primer argumento será asumido con la condición de que la cuenta del SISTEMA debe tener acceso a él y el archivo no debe estar en uso. Para que usted mismo pueda elevar sus privilegios”

Solución alternativa

La ejecución de cuentas de usuario estándar, en lugar de cuentas con privilegios administrativos, se considera una buena práctica de seguridad, ya que hacerlo puede limitar lo que las vulnerabilidades y ataques exitosos pueden hacer en un sistema.

Naceri explicó que si bien es posible configurar políticas de grupo para evitar que los usuarios 'Estándar' realicen operaciones de instalación de MSI, su día cero omite esta política y funciona de todos modos.

“La mejor solución alternativa disponible en el momento de escribir esto es esperar a que Microsoft lance un parche de seguridad, debido a la complejidad de esta vulnerabilidad", explicó Naceri agregando que "Cualquier intento de parchear el binario directamente romperá el instalador de Windows. Así que será mejor que espere y vea cómo Microsoft volverá a arreglar el parche".

Es importante aclarar que si bien el uso de buenas prácticas les permitirán disminuir la brecha de sufrir un ataque, ninguna de estas opciones evitará al 100%  la ejecución de esta vulnerabilidad. Aún así recomendamos agregar todas las capas de seguridad posibles para proteger sus activos.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante una vez estén disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Dia cero #Windows #Parche #Naceri #CVE-2021-41379


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.