diciembre 9, 2021

La nueva vulnerabilidad de día cero en Windows Installer afecta a todas las versiones del sistema operativo de Microsoft

En breve: El grupo de seguridad cibernética Cisco Talos ha descubierto una nueva vulnerabilidad que afecta a todas las versiones de Windows hasta la fecha, incluidas Windows 11 y Server 2022. La vulnerabilidad existe en Windows Installer y permite a los piratas informáticos elevar sus privilegios para convertirse en administradores.

El descubrimiento de esta vulnerabilidad llevó al grupo Cisco Talos a actualizar sus reglas Snort, que consisten en reglas para detectar ataques dirigidos a una lista de vulnerabilidades. La lista actualizada de reglas incluye la vulnerabilidad de elevación de privilegios de día cero, así como reglas nuevas y modificadas para amenazas emergentes de navegadores, sistemas operativos y protocolos de red, entre otros.

La explotación de esta vulnerabilidad permite a los piratas informáticos con acceso de usuario limitado elevar sus privilegios actuando como administrador del sistema. La empresa de seguridad ya ha encontrado muestras de malware en Internet, por lo que es muy probable que alguien ya haya sido víctima de él.

Abdelhamid Naceri, un investigador de seguridad de Microsoft, informó previamente a Microsoft sobre la vulnerabilidad, y supuestamente se solucionó con la corrección CVE-2021-41379 el 9 de noviembre. Sin embargo, el parche no pareció ser suficiente para solucionar el problema, ya que el problema persiste, lo que llevó a Naceri a publicar la prueba de concepto en GitHub.

En términos simples, la prueba de concepto muestra cómo un pirata informático puede reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI utilizando la Lista de control de acceso discrecional (DACL) para Microsoft Edge Elevation Service.

Microsoft calificó la vulnerabilidad como de «gravedad media», con una puntuación básica del Common Vulnerability Scoring System (CVSS) de 5,5 y una puntuación de tiempo de 4,8. Ahora que el código de explotación de prueba de concepto funcional está disponible, otros pueden intentar abusar de él aún más, posiblemente aumentando estas puntuaciones. En la actualidad, Microsoft aún tiene que lanzar una nueva actualización para mitigar la vulnerabilidad.

Parece que Naceri intentó corregir la pista él mismo, pero sin éxito. Hasta que Microsoft corrija la vulnerabilidad, Cisco Talos Group recomienda que aquellos que usan un firewall seguro de Cisco actualicen las reglas configuradas con las reglas Snort 58635 y 58636 para proteger a los usuarios del exploit.

Enlace permanente a la historia.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *