Cada versión de Windows es debido al peligro una aterradora vulnerabilidad de día cero después de que Microsoft no solucionara un error.
La explotación es actualmente una prueba del concepto, pero los investigadores creen que las pruebas y ajustes continuos a pequeña escala para esta explotación crearán una plataforma para un ataque más amplio.
“Durante nuestra investigación, analizamos muestras recientes de malware y pudimos identificar varios [bad actors] que ya han intentado aprovechar la explotación «, Nic Biasini, Cisco Talosin head of oalcance, tviejo BleepingComputadora. «Debido a que el volumen es pequeño, es probable que se trate de personas que estén trabajando en un código conceptual o probando campañas futuras».
La vulnerabilidad explota un error de Windows Installer (rastreada como CVE-2021-41379), que Microsoft pensó que se solucionaría a principios de este mes. El error permite a los usuarios actualizar los permisos locales a los permisos del SISTEMA, que son los permisos más altos disponibles en Windows. Una vez habilitado, los autores de malware pueden usar estos derechos para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI para ejecutar el código como administrador. En resumen, pueden hacerse cargo del sistema.
Durante el fin de semana, el investigador de seguridad Abdelhamid Naceri, que encontró el error original, publicado para Github código de explotación de prueba de concepto que funciona a pesar del lanzamiento de un parche de Microsoft. Peor aún, Naceri cree que esta nueva versión es aún más peligrosa porque anula la Política de grupo incluida en la instalación del administrador de Windows.
«Esta variante se descubrió durante el análisis de la corrección CVE-2021-41379. Sin embargo, el error no se corrigió correctamente en lugar de eliminar la anulación. He decidido descartar esta variante porque es más eficiente que la original», Naceri escribió.
BleepingComputer probó el exploit de Nacer y lo usó en «unos segundos» para abrir un símbolo del sistema con privilegios de SISTEMA desde una cuenta que tenía privilegios «normales».
Si bien no debería preocuparse todavía, esta vulnerabilidad podría comprometer miles de millones de sistemas si se permite que se propague. Vale la pena reiterar que esta explotación otorga a los atacantes privilegios de administrador en las últimas versiones de Windows, incluidas Windows 10 y Windows 11; estamos hablando de más de mil millones de sistemas. Esto no es acceso remoto Sin embargo, los malos jugadores necesitan acceso físico a su dispositivo para llevar a cabo el ataque.
Microsoft nombró moderada a la vulnerabilidad original, pero Jaeson Schultz, entécnico lEl director del Grupo de Investigación e Inteligencia de Seguridad de Cisco Talos, destacó un entrada en el blog que la existencia de un código de concepto funcional significa que el reloj está marcando una actualización lanzada por Microsoft que realmente funciona. Actualmente no existe una solución o solución alternativa para esta deficiencia.
Naseri, quien le dijo a BleepingComputer que no notificó a Microsoft sobre la vulnerabilidad antes del lanzamiento, como una forma de reclamar tarifas más bajas para el programa de recompensas por errores de Microsoft, aconseja no publicar sus propios parches porque podría violar Windows. mecánico.
Microsoft es consciente de la vulnerabilidad, pero no proporcionó un cronograma de cuándo lanzará la solución.
«Somos conscientes de la divulgación y haremos todo lo necesario para mantener a nuestros clientes seguros y protegidos. Un atacante que utilice los métodos descritos ya debe tener acceso y la capacidad de ejecutar código en la máquina de la víctima objetivo», dijo Microsoft a BleepingComputer.
La empresa suele publicar parches el «martes de parches» o el segundo martes de cada mes. Nos hemos puesto en contacto con Microsoft para obtener más información. Actualizaremos este artículo si recibimos más información.
Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida
