Microsoft no pudo corregir correctamente una vulnerabilidad de día cero y ahora todas las versiones de Windows están en riesgo. La vulnerabilidad de Windows Installer se encuentra en sus primeras etapas, pero los investigadores de seguridad advierten de una campaña más amplia.
Cada versión de Windows está en riesgo debido a una aterradora vulnerabilidad de día cero después de que Microsoft no pudo parchear adecuadamente una falla similar, afirma un investigador de ciberseguridad.
El exploit recién descubierto es actualmente una prueba de concepto, pero los investigadores creen que las pruebas y ajustes en curso a pequeña escala están preparando el escenario para un ataque de mayor alcance.
«Durante nuestra investigación, analizamos muestras recientes de malware y pudimos identificar a varios [malos actores] que ya estaban tratando de aprovechar el exploit», dijo Nic Biasini, jefe de alcance de Cisco Talos, a BleepingComputer. «Dado que el volumen es bajo, es probable que se trata de personas que trabajan con el código de prueba de concepto o pruebas para futuras campañas».
La vulnerabilidad se aprovecha de un error de Windows Installer (rastreado como CVE-2021-41379) que Microsoft afirma haber parcheado a principios de este mes. Esta nueva variante ofrece a los usuarios la capacidad de elevar los privilegios locales a privilegios SYSTEM, los derechos de usuario más altos disponibles en Windows. Una vez en su lugar, los creadores de malware pueden usar esos privilegios para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI para ejecutar código como administrador. En resumen, pueden hacerse cargo del sistema.
Variante peligrosa
Durante el fin de semana, el investigador de seguridad Abdelhamid Naceri, quien descubrió la falla inicial, publicó en Github un código de explotación de prueba de concepto que funciona a pesar del lanzamiento del parche de Microsoft. Peor aún, Naceri cree que esta nueva versión es aún más peligrosa porque omite la política de grupo incluida en la instalación administrativa de Windows.
«Esta variante fue descubierta durante el análisis del parche CVE-2021-41379. sin embargo, el error no se corrigió correctamente, en lugar de dejar caer el bypass. He optado por abandonar esta variante, ya que es más poderosa que la original», escribió Naceri.
BleepingComputer probó el exploit de Naceri y, en «unos segundos», lo usó para abrir un símbolo del sistema con permisos SYSTEM desde una cuenta con privilegios «estándar».
Si bien aún no debería estar demasiado preocupado, esta vulnerabilidad podría poner en riesgo miles de millones de sistemas si se le permite propagarse. Vale la pena reiterar que este exploit otorga a los atacantes privilegios de administrador en las últimas versiones del sistema operativo Windows, incluidas Windows 10 y Windows 11, estamos hablando de más de 1.000 millones de sistemas. Sin embargo, esto no es un exploit remoto, por lo que los malos actores necesitarían acceso físico a su dispositivo para llevar a cabo el ataque.
Barbas en remojo
Microsoft etiquetó la vulnerabilidad inicial como de gravedad media, pero Jaeson Schultz, líder técnico del Talos Security Intelligence & Research Group de Cisco, enfatizó en una publicación de blog que la existencia de código de prueba de concepto funcional significa que el reloj está corriendo para que Microsoft lance un parche que realmente funcione. Tal como está, no hay solución o solución para este defecto.
Naseri, quien le dijo a BleepingComputer que no le dio aviso a Microsoft sobre la vulnerabilidad antes de hacerlo público como una forma de solicitar pagos más pequeños en el programa de recompensas por errores de Microsoft, desaconseja que las compañías de terceros publiquen sus propios parches porque hacerlo podría romper el instalador de Windows.
Microsoft es consciente de la vulnerabilidad, pero no proporcionó una línea de tiempo para cuándo lanzará una corrección.
«Somos conscientes de la divulgación y haremos lo que sea necesario para mantener a nuestros clientes seguros y protegidos. Un atacante que use los métodos descritos ya debe tener acceso y la capacidad de ejecutar código en la máquina de una víctima objetivo», dijo Microsoft a BleepingComputer.
La compañía generalmente lanza parches en el «Martes de parches», o el segundo martes de cada mes.
Actualización: Microsoft ha respondido a la historia de Gizmodo aclarando que la compañía solucionó la falla original. Naceri cree que Microsoft no hizo esa corrección «correctamente»; afirma haber encontrado un bypass para el parche. De Microsoft:
«[La] vulnerabilidad revelada es una vulnerabilidad separada. Es inexacto decir que Microsoft no arregló CVE-2021-41379».
La compañía no ha proporcionado una actualización sobre la nueva variante que Naceri reveló.
Fuente: Gizmodo
