Los atacantes están haciendo esfuerzos activamente para explotar una nueva variante de una vulnerabilidad de escalada de privilegios recientemente revelada para ejecutar potencialmente código arbitrario en sistemas totalmente parcheados, demostrando una vez más cómo los adversarios se mueven rápidamente para armar un exploit disponible públicamente.
Cisco Talos reveló que “detectó muestras de malware en la naturaleza que están tratando de aprovechar esta vulnerabilidad”.
Rastreado como CVE-2021-41379 y descubierto por el investigador de seguridad Abdelhamid Naceri, el defecto de elevación de privilegios que afecta al componente de software de Windows Installer se resolvió originalmente como parte de las actualizaciones del martes de parches de Microsoft para noviembre de 2021.
Sin embargo, en lo que es un caso de parche insuficiente, Naceri descubrió que no solo era posible eludir la corrección implementada por Microsoft, sino también lograr la elevación de privilegios local a través de un error de día cero recién descubierto.
El exploit de prueba de concepto (PoC), apodado “InstallerFileTakeOver”, funciona sobrescribiendo la lista de control de acceso discrecional (DACL) del servicio de elevación de Microsoft Edge para sustituir cualquier archivo ejecutable del sistema por un archivo de instalación MSI, lo que permite a un atacante ejecutar código con privilegios de SISTEMA.
Un atacante con privilegios de administrador podría entonces abusar del acceso para obtener el control total del sistema comprometido, incluyendo la capacidad de descargar software adicional, y modificar, borrar o exfiltrar información sensible almacenada en la máquina.
Naceri señaló que la última variante de CVE-2021-41379 es “más potente que la original”, y que lo mejor sería esperar a que Microsoft publicara un parche de seguridad para el problema “debido a la complejidad de esta vulnerabilidad.”
No está claro cuándo actuará Microsoft ante la revelación pública y lanzará una solución.