CVE-2021-41379 es una vulnerabilidad de elevación de privilegios que Microsoft corrigió a principios de este mes. Sin embargo, resulta que hay otro, Variante "más potente", descubierto por el investigador de seguridad Abdelhamid Naceri. Se encontró con una falla EoP de Windows Installer parcheado por Microsoft hace varias semanas como parte de noviembre 2021 Martes de parches.
La historia detrás de CVE-2021-41379 Elevation of Privilege Bug
Naceri analizó el parche oficial y encontró un bypass, junto con un problema de escalada de privilegios de día cero aún más peligroso. Un código de explotación de código de prueba de concepto, apodado InstallerFileTakeOver, también está disponible en GitHub. La vulnerabilidad se puede aprovechar contra todas las versiones del sistema operativo Windows actualmente compatibles., permitir que los actores de amenazas se apoderen de Windows 10, Ventanas 11 y Windows Server. La única condición necesaria es iniciar sesión en una máquina con Windows que tenga instalado el navegador Edge..
Como señaló Cisco Talos en un análisis separado del acontecimiento, “El parche lanzado por Microsoft no fue suficiente para remediar la vulnerabilidad, y Naceri publicaron código de explotación de prueba de concepto en GitHub en noviembre. 22 que funciona a pesar de las correcciones implementadas por Microsoft ".
El exploit InstallerFileTakeOver PoC aprovecha la lista de control de acceso discrecional (abordar) para que Microsoft Edge Elevation Service reemplace cualquier archivo ejecutable en el sistema con un archivo MSI, permitiendo así a los actores de amenazas ejecutar código como administrador.
CVE-2021-41379 recibió inicialmente un estado de gravedad media, pero el lanzamiento de la prueba de concepto completamente funcional agrega otro nivel de amenaza a la vulnerabilidad. Actualmente, no hay ninguna solución disponible de Microsoft.
En 2020, otra vulnerabilidad de Microsoft se destacó entre la multitud de errores, como la empresa no lo solucioné por 2 año.
La vulnerabilidad CVE-2020-1464 era parte de la 120 fallas de seguridad abordadas en el martes de parches de agosto del año pasado. El error se expuso activamente en ataques maliciosos durante al menos dos años antes de que Microsoft lo solucionara.. El problema fue una falla de suplantación provocada por la forma incorrecta en que Windows valida las firmas de archivos.. En caso de un ataque exitoso, el atacante podría omitir las funciones de seguridad y cargar archivos firmados incorrectamente.