Rastreada como CVE-2021-41379 y descubierta por el investigador de seguridad Abdelhamid Naceri, es una falla de elevación de privilegios que afecta al componente de software Windows Installer. Microsoft la parcheó inicialmente como parte de las actualizaciones de seguridad mensual de este mismo mes.
Sin embargo, el parche lanzado por Microsoft no fue suficiente para solucionar la vulnerabilidad, y el investigador publicó una prueba de concepto con el código de explotación en GitHub, que muestra como un exploit funciona a pesar de las correcciones implementadas por Microsoft.
El código que lanzó Naceri aprovecha la lista de control de acceso discrecional (DACL) para Microsoft Edge Elevation Service para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI, lo que permite a un atacante ejecutar código como administrador.
«Durante nuestra investigación, analizamos muestras de malware recientes y pudimos identificar varios que ya estaban intentando aprovechar el exploit«, explican los investigadores. «Dado que el volumen es bajo, es probable que se trate de personas que trabajan con el código de prueba de concepto para futuras campañas. Esto es solo una prueba más de la rapidez con la que los adversarios trabajan para convertir en arma un exploit disponible públicamente«.
O-Day en Windows Installer
La vulnerabilidad en cuestión es un error de elevación de privilegios local encontrado como una variante del parche de Microsoft. Si se explota con éxito, esta omisión otorga a los atacantes privilegios de SISTEMA en dispositivos actualizados que ejecuten las últimas versiones de Windows, incluidos Windows 10, Windows 11 y Windows Server 2022. Los privilegios de system son los derechos de usuario más altos disponibles para un usuario de Windows y permiten ejecutar cualquier comando del sistema operativo.
No hay solución por el momento y solo se puede esperar a que Microsoft lance un segundo parche. «Debido a la complejidad de esta vulnerabilidad, cualquier intento de parchear el binario directamente romperá el instalador de Windows. Así que será mejor esperar hasta que Microsoft vuelva a emitir otro parche«.
«Somos conscientes de la divulgación y haremos lo que sea necesario para mantener a nuestros clientes seguros y protegidos. Un atacante que utilice los métodos descritos ya debe tener acceso y la capacidad de ejecutar código en la máquina de la víctima«, dijo un portavoz de Microsoft a BleepingComputer.
Fuente: muyseguridad
