Prueba de concepto Entel CyberSecure para CVE-2021-41379

El día 9 de noviembre fue publicada una nueva CVE de criticidad alta para windows, referenciando la solución a una vulnerabilidad que aprovecha restricciones inadecuadas en Windows Installer permitiendo elevar permisos desde usuario a administrador.

Ante esta situación, un investigador anunció que la solución entregada por la marca no era efectiva y liberó públicamente una Prueba de Concepto (PoC) la cual permite explotar esta vulnerabilidad con tan solo una línea de comando. 

Es importante destacar que hasta ahora, las condiciones de explotación requieren que el atacante tenga acceso a la máquina víctima, con la capacidad de ejecutar código con pocos privilegios en el sistema, asimismo, solo afecta a las versiones “Desktop Experience” (GUI). 

Motivación de la publicación del exploit a la comunidad

Según el autor del exploit, se debe a la disminución de las recompensas entregadas por Microsoft ante el descubrimiento de vulnerabilidades en sus sistemas mediante programas de recompensas (bug bounty). 

En efecto, ha anunciado que cuando Windows pueda solucionar este error, hará la liberación de una nueva vulnerabilidad que aparentemente aún no ha sido publicada ni informada a Microsoft.

¿Qué versiones afecta?

De acuerdo a la información entregada por su creador, esta PoC funciona correctamente para todas las versiones de windows desde Win 7 en adelante y desde win Server 2008 en adelante 

• Windows Host:
  • Win 7
  • Win 8.1
  • Win 10
  • Win 11
• Windows Server:
  • Server 2008
  • Server 2012
  • Server 2016
  • Server 2019
  • Server 2022

¿Condiciones de explotación?

Es importante destacar que hasta ahora, las condiciones de explotación requieren que el atacante tenga control de la máquina de la víctima (cualquier sesión que no cuente con  permisos de administrador) ya sea de forma física como por ejemplo un Insider, o de forma remota. Sin embargo, para esta última opción es necesario que previamente se lleven a cabo procesos de intrusión como el acceso inicial y posiblemente persistencia.

Solo afecta a las versiones “Desktop Experience”  (tanto sistemas operativos hosts como servers, con interfaz de usuario [GUI]). 

¿En qué consiste y cómo funciona?

La PoC vulnera la lista de control de acceso discrecional (DACL) de Microsoft Edge Elevation Service para sustituir un archivo ejecutable (.exe) del sistema por un archivo MSI, permitiendo a un atacante ejecutar código con permisos de administrador. 

Específicamente la Lista de Control de Acceso Discrecional (DACL), es una lista interna adjunta a un objeto en Active Directory que especifica qué usuarios y grupos pueden acceder al objeto y qué tipo de operaciones pueden realizar.

Riesgos asociados

Los principales riesgos asociados son:

• Inexistencia de un parche que soluciona la vulnerabilidad (pese a intentos fallidos por parte de Microsoft) 
• Cualquier usuario con acceso al escritorio y conocimientos suficientes podría obtener acceso como administrador
• Soluciones alternativas disponibles no resultan 100% efectivas.

Es importante destacar que la comunidad aún está en espera de un parche efectivo para esta vulnerabilidad y que todas las soluciones alternativas aquí nombradas no deben ser consideradas como una solución permanente ni 100% efectiva.

Ejecución de PoC

La ejecución de esta PoC se ha realizado bajo el siguiente ambiente:

• Virtual Machine Win 11Pro Developer Edition  (disponible desde Microsoft)
  • Habilitación de todos los Logs de auditoría
  • Creación de usuario Test con permisos estándar
  • Creación de usuario User con permisos Administrador protegido con contraseña
  • Win Defender RealTime protection: Off
• Virtual Box 6.1.30
• Link de descarga PoC en GitHub
• Exploit: “InstallerFileTakeOver-main.zip”

Con estos antecedentes y para fines prácticos, desde el usuario User (admin), se deshabilita “RealTime protection” de Windows Defender.

Luego desde el usuario Test se descarga el documento “InstallerFileTakeOver-main.zip”  desde GitHub, que en este caso será extraído y pegado en el escritorio. Encontrando el ejecutable en la siguiente ruta.

C:\Users\Test\Desktop\InstallerFileTakeOver-main\InstallerFileTakeOver-main\InstallerFileTakeOver\Release

Se abre CMD e identifica el usuario con comando whoami 

Posterior a esto, se accede mediante consola al directorio detallado previamente para correr el ejecutable

Luego de unos segundos se abre una nueva ventana en CMD que tras identificar permisos con comando whoami se obtiene como resultado autoridad System

¿Cómo detectarlo?

De momento se hemos identificado cuatro modos diferentes de detectarlo:

1. Archivos temporales: Cuando se explota esta vulnerabilidad, ésta crea un ejecutable en archivos temporales llamado Notepad.exe dentro del directorio \Microsoft plz\ 

• C:\Users\Test\AppData\Local\Temp\{Alfanumérico}\microsoft plz\notepad.exe

Para esta prueba se ha logrado capturar el contenido del directorio alfanumérico el que para el caso de Win11 es rápidamente eliminado dejando de evidencia un Log de error con nombre iniciado en MSI.

2. Logs de aplicación: el segundo método de detección consiste en la revisión de logs de auditoría (previamente habilitados), específicamente en los de aplicación, identificando el ID de proceso 1033 que contiene el registro de instalación de Test.pkg 

Este archivo se encuentra ubicado dentro del zip descargado inicialmente desde GitHub en la siguiente ruta:

• C:\Users\Test\Desktop\InstallerFileTakeOver-main\InstallerFileTakeOver-main\test pkg\test pkg.aip

3. Proveedores de Tecnología: Debido a las alarmas generadas por la amenaza latente de esta explotación, para el sector empresarial diferentes marcas de equipamiento de infraestructura tecnológica han lanzado sus propias reglas de detección para sus dispositivos, por lo que se en caso de aplicar se debe actualizar a las últimas versiones de sus bases de datos.

4. Accesos web: Debido a que este ejecutable se encuentra disponible desde GitHub, a modo general es posible crear reglas que alerten o bloqueen conexiones a este dominio, sin embargo pudiese ser obtenido de otras fuentes.

¿Cómo prevenirlo?

Debido a que la explotación requiere que el atacante tenga control de la máquina de la víctima, es necesario aplicar medidas de seguridad robustas en la red de su organización que impidan un acceso remoto.

Por otra parte e independientemente de sus políticas de seguridad, se ha observado que este exploit abusa de los permisos otorgados a Microsoft Edge, por lo que tras la deshabilitación de este aplicativo se puede bloquear el escalamiento de privilegios lograda con su explotación.

Esta solución ha resultado ser efectiva, sin embargo, debe ir estrictamente acompañada de políticas de usuario que impidan la reinstalación de MS Edge, aunque se desconoce el hecho de que a futuro exista otro exploit que obvie dicha condición y esta solución no sirva.

Deshabilitación de MS Edge

Debido a que viene habilitada por defecto con el sistema operativo, presenta además restricciones para su eliminación por lo que se debe realizar mediante línea de comandos desde la cuenta User con permisos de Administrador.

Para su desinstalación primero debemos dirigirnos a MS Edge e ingresar la siguiente ruta para obtener la versión de la aplicación instalada.

• edge://settings/help

Con esta información accedemos a CMD e ingresamos el siguiente comando, donde [versión] debe ser reemplazada por la obtenida previamente, para este caso la 96.0.1054.34

• cd %PROGRAMFILES(X86)%\Microsoft\Edge\Application\[VERSION]\Installer

Luego de ingresar la ruta se debe ingresar este nuevo comando, que elimina MS Edge de forma forzosa brindándole los permisos que solicite en pantalla.

• setup --uninstall --force-uninstall --system-level

De esta forma, tras revisar el listado de programas del equipo, Edge ya no se encuentra instalado.

Luego de este cambio, al ejecutar el exploit, se puede visualizar un nuevo comportamiento: aparece un “mensaje de uso del ejecutable”, por lo que la elevación de privilegios no se materializa.

De momento, desconocemos si este mensaje corresponde a un error o si aún permite que otro servicio que presente permisos similares pueda ser explotado de igual forma.

Panorama

En base a lo descrito en el boletín, es necesario mantener un monitoreo constante de esta vulnerabilidad inclusive después de que Microsoft entregue una solución fiable, debido a que  la amenaza no termina aquí según las alertas entregadas de parte de el autor, ya que indican otra carta bajo la manga que inferimos podría involucrar el mismo grado de riesgo o inclusive aún mayor.

El riesgo inminente en todas las versiones de windows supone una ardua labor de monitoreo que idealmente debiera ser cubierta por plataformas automatizadas de detección para organizaciones que dispongan de estos recursos, mientras que en el caso contrario, para usuarios finales, la prevención se debe enfocar en evitar acceso inicial de ciberactores prestando especial cuidado en las descargas y en evitar navegación en sitios web inseguros.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Validar la existencia de Logs de auditoría, en apartado aplicaciones, que no se encuentre el ID de eventos 1033 relacionados a test.pkg
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Generar una regla personalizada para detección de procesos y rutas creadas en el sistema según se detalla en boletín.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los malware.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.