La falla del parche de Microsoft pone en riesgo todas las versiones de Windows

Cada versión de Windows es en riesgo debido a una aterradora vulnerabilidad de día cero después de que Microsoft no solucionara la falla.

El exploit es actualmente una prueba de concepto, pero los investigadores creen que las pruebas y ajustes continuos a pequeña escala del exploit preparan el escenario para un ataque más grande.

“Durante nuestra investigación, analizamos muestras recientes de malware y pudimos identificar varios [bad actors] que ya intentaban explotar la hazaña ”, Nic Biasini, Cisco Talos ‘ho cabezaalcance, tviejo BipComputadora. “Dado que el volumen es bajo, probablemente se trate de personas que trabajan con pruebas de concepto o código de prueba para campañas futuras. “

La vulnerabilidad se aprovecha de un error de Windows Installer (registrado como CVE-2021-41379) que Microsoft pensó que había solucionado a principios de este mes. La falla brinda a los usuarios la capacidad de elevar los privilegios locales a privilegios de SISTEMA, los derechos de usuario más altos disponibles en Windows. Una vez en su lugar, los creadores de malware pueden usar estos privilegios para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI para ejecutar código como administrador. En resumen, pueden tomar el control del sistema.

Durante el fin de semana, el investigador de seguridad Abdelhamid Naceri, que descubrió la falla inicial, publicado en Github un código de explotación de prueba de concepto que funciona a pesar del lanzamiento del parche de Microsoft. Peor aún, Naceri cree que esta nueva versión es aún más peligrosa porque pasa por alto la política de grupo incluida en la instalación del administrador de Windows.

“Esta variante se descubrió durante el análisis del parche CVE-2021-41379. Sin embargo, el error no se solucionó correctamente en lugar de eliminar la solución. Decidí abandonar esta variante porque es más poderosa que la original ”, escribió Naceri.

BleepingComputer probó el exploit de Naceri y en “segundos” lo usó para abrir un símbolo del sistema con permisos de SISTEMA desde una cuenta con privilegios “estándar”.

Si bien no debería estar demasiado preocupado por el momento, esta vulnerabilidad podría poner en riesgo miles de millones de sistemas si se permite que se propague. Vale la pena repetir que este exploit otorga a los atacantes privilegios de administrador en las últimas versiones del sistema operativo Windows, incluidos Windows 10 y Windows 11; estamos hablando de más de mil millones de sistemas. Esta no es una hazaña remota sin embargo, los delincuentes necesitarían acceso físico a su dispositivo para completar el ataque.

Microsoft calificó la vulnerabilidad inicial como de gravedad media, pero Jaeson Schultz, entécnicojefe del grupo de investigación e inteligencia de seguridad Talos de Cisco, señaló en un entrada en el blog que la existencia de un código funcional de prueba de concepto significa que se está agotando el tiempo para que Microsoft lance una solución que realmente funcione. Tal como está, no hay solución o solución para este defecto.

Naseri, quien le dijo a BleepingComputer que no notificó a Microsoft sobre la vulnerabilidad antes de hacerlo público como una forma de solicitar pagos pequeños en el programa de recompensas de errores de Microsoft, aconseja a las empresas de terceros que no publiquen sus propias correcciones, ya que esto podría romper el instalador de Windows.

Microsoft es consciente de la vulnerabilidad, pero no ha proporcionado un cronograma para el lanzamiento de un parche.

“Somos conscientes de la divulgación y haremos lo que sea necesario para garantizar la seguridad y protección de nuestros clientes. Un atacante que utilice los métodos descritos ya debe tener acceso y tener la capacidad de ejecutar código en la máquina de la víctima objetivo ”, dijo Microsoft a BleepingComputer.

Por lo general, la empresa lanza parches el “martes de parches” o el segundo martes de cada mes. Nos hemos puesto en contacto con Microsoft para obtener más detalles y actualizaremos este artículo si recibimos más detalles.