Piratas informáticos explotan un exploit de Windows Installer MuySeguridad. Seguridad informática.

Un exploit de Windows Installer está siendo usado por piratas informáticos para intentar ejecutar código arbitrario en sistemas supuestamente parcheados, según ha revelado la firma Cisco Talos, que detectó muestras de malware que intentan aprovechar la vulnerabilidad.

Rastreada como CVE-2021-41379 y descubierta por el investigador de seguridad Abdelhamid Naceri, es una falla de elevación de privilegios que afecta al componente de software Windows Installer. Microsoft la parcheó inicialmente como parte de las actualizaciones de seguridad mensual de este mismo mes.

MS Recomienda

Gestiona los dispositivos de tu empresa de forma inteligente Leer

Sin embargo, el parche lanzado por Microsoft no fue suficiente para solucionar la vulnerabilidad, y el investigador publicó una prueba de concepto con el código de explotación en GitHub, que muestra como un exploit funciona a pesar de las correcciones implementadas por Microsoft.

El código que lanzó Naceri aprovecha la lista de control de acceso discrecional (DACL) para Microsoft Edge Elevation Service para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI, lo que permite a un atacante ejecutar código como administrador.

«Durante nuestra investigación, analizamos muestras de malware recientes y pudimos identificar varios que ya estaban intentando aprovechar el exploit«, explican los investigadores. «Dado que el volumen es bajo, es probable que se trate de personas que trabajan con el código de prueba de concepto para futuras campañas. Esto es solo una prueba más de la rapidez con la que los adversarios trabajan para convertir en arma un exploit disponible públicamente«.

Windows Installer

O-Day en Windows Installer

La vulnerabilidad en cuestión es un error de elevación de privilegios local encontrado como una variante del parche de Microsoft. Si se explota con éxito, esta omisión otorga a los atacantes privilegios de SISTEMA en dispositivos actualizados que ejecuten las últimas versiones de Windows, incluidos Windows 10, Windows 11 y Windows Server 2022. Los privilegios de system son los derechos de usuario más altos disponibles para un usuario de Windows y permiten ejecutar cualquier comando del sistema operativo.

No hay solución por el momento y solo se puede esperar a que Microsoft lance un segundo parche. «Debido a la complejidad de esta vulnerabilidad, cualquier intento de parchear el binario directamente romperá el instalador de Windows. Así que será mejor esperar hasta que Microsoft vuelva a emitir otro parche«. 

«Somos conscientes de la divulgación y haremos lo que sea necesario para mantener a nuestros clientes seguros y protegidos. Un atacante que utilice los métodos descritos ya debe tener acceso y la capacidad de ejecutar código en la máquina de la víctima«, dijo un portavoz de Microsoft a BleepingComputer.

Fuente obtenida de: https://www.muyseguridad.net/2021/11/27/exploit-de-windows-installer/

Compartelo en las redes sociales

Compartir en facebook Compartir en google+ Compartir en twitter Compartir en pinterest Compartir en likedin Compartir en WhatsApp

Sobre Kamal Majaiti 1553 artículos
Administrador de sistemas e informático por vocación.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.