El 23/11/2021 fue divulgada la existencia de una nueva vulnerabilidad de día cero en Microsoft Windows de escalada local de privilegios, después de haberse aplicado los parches de seguridad publicados por Microsoft en el mes de noviembre. Esta vulnerabilidad permite a un atacante con una cuenta de usuario limitada elevar sus privilegios para convertirse en administrador.

Recursos afectados:

Todas las versiones actuales del sistema operativo de Microsoft. Lo que incluye Windows 10, Windows 11 y Windows Server 2022.

Descripción:

El investigador de seguridad, Abdelhamid Naceri, realizó un análisis al parche de la vulnerabilidad CVE-2021-41379 y descubrió que éste no solucionaba el fallo de manera correcta, y en lugar de eso introducía una nueva vulnerabilidad de día cero que permite  escalar privilegios en los sistemas Windows de escritorio y sus versiones de servidor.

Adicionalmente, publicó una prueba de concepto (PoC) para la explotación de la nueva vulnerabilidad, disponible en GitHub como InstallerFileTakeOver, en la cual sobreescribe el servicio DACL (Discretionary Access Control List) de Microsoft Edge, y se autocopia en lugar de este servicio con el fin de ejecutarse y elevar los privilegios hasta volverse System. Además, el script permite capturar cualquier archivo especificado en la línea de comando, con la condición de que el archivo no esté en uso y que sea manejado por System, permitiendo de esta manera elevar privilegios sin la necesidad del servicio DACL.

Aunque Microsoft inicialmente calificó CVE-2021-41379 como una vulnerabilidad de gravedad media, con un puntaje CVSS base de 5.5 y un puntaje temporal de 4.8, el lanzamiento de código de explotación de prueba de concepto funcional ciertamente generará un abuso adicional de esta vulnerabilidad.

Cisco Talos ya ha detectado muestras de malware "en estado salvaje" que intentan aprovechar esta vulnerabilidad. Recientemente ha publicado nuevas reglas SNORT para proteger contra la explotación de esta vulnerabilidad (SIDs 58635 y 58636).

Hasta el momento de la publicación de esta alerta no hay ningún parche disponible de Microsoft.

Recomendaciones:

Mantenerse informado sobre las actualizaciones de Microsoft para esta vulnerabilidad y aplicarlas de inmedato una vez que estén disponibles.

Referencias:

• https://www.csirt-epn.edu.ec/como-tener/240-vulnerabilidad-dia-cero-en-windows-eleva-privilegios
• https://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html
• https://github.com/klinix5/InstallerFileTakeOver
• Cuenta de Abdelhamid Naceri en Twitter @KLINIX5