esenfrdeitptru

Vulnerabilidad de día cero en Windows que permite elevar privilegios – InstallerFileTakeOver

AS-116-2021

Fecha: 23/Nov/2021

Resumen:

El investigador de seguridad, Abdelhamid Naceri, realizó un análisis al parche de la vulnerabilidad CVE-2021-41379 y descubrió que este no solucionaba el fallo de manera correcta. Sin embargo, en vez de realizar un bypass, generó una variante que le permite escalar privilegios en los sistemas Windows de escritorio y sus versiones de servidor.

Adicionalmente, publicó una prueba de concepto para este nueva vulnerabilidad de día cero, de tal manera que sea confiable y no requiere nada para su explotación. La prueba de concepto sobrecribe el servicio DACL de Microsoft Edge, y se autocopia en lugar de este servicio con el fin de ejecutarse y elevar los privilegios hasta volverse System. Además,el script permite capturar cualquier archivo especificado en la linea de comando, con la condición de que el archivo no esté en uso y que sea manejado por System, permitiendo de esta manera elevar privilegios sin la necesidad del servicio DACL.

Se recomienda esperar por el parche oficial de Microsoft, y se conoce que al momento no existe ningún workaround para mitigar el fallo.

Referencias:

https://github.com/klinix5/InstallerFileTakeOver


https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/