Underc0de

Un investigador de seguridad ha revelado públicamente un exploit para una nueva vulnerabilidad de elevación de privilegios locales de día cero de Windows que otorga privilegios de administrador en Windows 10, Windows 11 y Windows Server.

BleepingComputer ha probado el exploit y lo usó para abrir el símbolo del sistema con privilegios de SISTEMA desde una cuenta con privilegios 'Estándar' de bajo nivel.

Con esta vulnerabilidad, los actores de amenazas con acceso limitado a un dispositivo comprometido pueden elevar fácilmente sus privilegios para ayudar a propagarse lateralmente dentro de la red.

La vulnerabilidad afecta a todas las versiones compatibles de Windows, incluidas Windows 10, Windows 11 y Windows Server 2022.

Investigador lanza un desvío a la vulnerabilidad parcheada

Como parte del martes de parche de noviembre de 2021, Microsoft corrigió una vulnerabilidad de 'vulnerabilidad de elevación de privilegios del instalador de Windows' rastreada como  CVE-2021-41379 .

Esta vulnerabilidad fue descubierta por el investigador de seguridad Abdelhamid Naceri, quien encontró un desvío al parche y una nueva vulnerabilidad de elevación de privilegios de día cero más poderosa después de examinar la solución de Microsoft.

Ayer, Naceri publicó un exploit de prueba de concepto funcional para el nuevo día cero en  GitHub , explicando que funciona en todas las versiones compatibles de Windows.

"Esta variante se descubrió durante el análisis del parche CVE-2021-41379. Sin embargo, el error no se solucionó correctamente en lugar de eliminar el bypass", explica Naceri en su artículo. "He optado por eliminar esta variante ya que es más poderosa que la original".

Además, Naceri explicó que si bien es posible configurar políticas de grupo para evitar que los usuarios 'Estándar' realicen operaciones de instalación de MSI, su día cero omite esta política y funcionará de todos modos.

BleepingComputer probó el exploit 'InstallerFileTakeOver' de Naceri, y solo tomó unos segundos obtener los privilegios del SISTEMA de una cuenta de prueba con privilegios 'Estándar'.

La prueba se realizó en una instalación completamente actualizada de Windows 10 21H1 build 19043.1348.

Cuando BleepingComputer le preguntó a Naceri por qué reveló públicamente la vulnerabilidad de día cero, nos dijeron que lo hizo por frustración por los pagos decrecientes de Microsoft en su programa de recompensas por errores.

CitarLas recompensas de Microsoft han sido destruidas desde abril de 2020, realmente no haría eso si MSFT no tomara la decisión de degradar esas recompensas.
Explicó Naceri.

Naceri no está solo en sus preocupaciones sobre lo que los investigadores sienten es la reducción en los premios de recompensas por errores.

Bajo el nuevo programa de recompensas por errores de Microsoft, uno de mis días cero ha pasado de tener un valor de $ 10,000 a $ 1,000

- MalwareTech (@MalwareTechBlog) 27 de julio de 2020



Microsoft le dijo a BleepingComputer que están al tanto de la divulgación pública de esta vulnerabilidad.

CitarSomos conscientes de la divulgación y haremos lo que sea necesario para mantener a nuestros clientes seguros y protegidos. Un atacante que utilice los métodos descritos ya debe tener acceso y la capacidad de ejecutar código en la máquina de la víctima.
Un portavoz de Microsoft.

Como es típico con los días cero, es probable que Microsoft solucione la vulnerabilidad en una próxima actualización del martes de parches.

Sin embargo, Naceri advirtió que no se recomienda intentar corregir la vulnerabilidad intentando parchear el binario, ya que probablemente romperá el instalador.

CitarLa mejor solución alternativa disponible en el momento de escribir esto es esperar a que Microsoft lance un parche de seguridad, debido a la complejidad de esta vulnerabilidad.
Explicó Naceri.

"Cualquier intento de parchear el binario directamente romperá el instalador de Windows. Así que será mejor que espere y vea cómo Microsoft volverá a arreglar el parche".

Actualización 23/11/21 - Declaración agregada de Microsoft.

Fuente: https://www.bleepingcomputer.com