Hackers aprovechan la vulnerabilidad de día cero en Windows Installer :: Bitdefender blog

Hackers aprovechan la vulnerabilidad de día cero en Windows Installer

Noticia de Ciberseguridad - Dec 01, 2021


Hoy, Cisco Talos está lanzando reglas SNORT para proteger contra la explotación de una vulnerabilidad de elevación de privilegios de día cero en Microsoft Windows Installer (MSI).

 

Esta vulnerabilidad es similar a la vulnerabilidad del instalador MSI que se aprovechó durante la campaña WannaCry. Al aprovechar esta vulnerabilidad, un usuario con pocos privilegios puede asumir fácilmente privilegios administrativos en el sistema de destino.

 

Todas las versiones de Microsoft Windows se ven afectadas por esta vulnerabilidad, incluidos Windows 11 y Server 2022 con parches completos también.

 

Aparte de esto, Talos siempre está buscando malware y ya ha encontrado muestras de malware que explotan esta vulnerabilidad en la naturaleza.

 

Como parte de la actualización de seguridad mensual, Microsoft ya lanzó una actualización el 9 de noviembre para corregir el "CVE-2021-41379", es una vulnerabilidad de elevación de privilegios de Windows Installer.

 

Si bien Microsoft ha abordado esta vulnerabilidad de elevación de privilegios con la ayuda de Abdelhamid Naceri, un investigador de seguridad que inicialmente descubrió esta falla.

 

Pero, más tarde, el 22 de noviembre, Abdelhamid Naceri publicó un código de explotación de prueba de concepto en GitHub y afirmó que la actualización con la solución para esta vulnerabilidad de Microsoft no era suficiente.

 

Aquí, para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI, Naceri aprovechó con éxito la DACL (Lista de control de acceso discrecional) para Microsoft Edge Elevation Service. En resumen, un atacante con este exploit puede ejecutar fácilmente cualquier código como administrador.

 

Inicialmente, Microsoft calificó esta vulnerabilidad con un rango de gravedad de "medio", una puntuación CVSS básica de 5,5 y una puntuación temporal de 4,8.

 

Pero, lo que está claro por ahora es que el código funcional de exploits de prueba de concepto definitivamente lucrará un mayor abuso de esta falla de seguridad.

 

¿Hay algún parche disponible?

La respuesta corta más exacta es "No", hasta ahora, Microsoft no ha lanzado ningún parche para corregir esta vulnerabilidad.