Un investigador de ciberseguridad ha revelado públicamente un nuevo exploit para una nueva vulnerabilidad de elevación de privilegios locales de Windows (cuya vulnerabilidad es considerará un ZERO-DAY), que otorga el rol de administrador en los sistemas operativos de Windows 10, Windows 11 y finalmente, Windows Server.
Gracias al uso de esta vulnerabilidad, los actores de amenazas con acceso limitado a un dispositivo comprometido pueden elevar fácilmente sus privilegios para ayudar a propagarse lateralmente dentro de la red. La vulnerabilidad afecta a todas las versiones compatibles de Windows, incluyendo Windows 10, Windows 11 y Windows Server 2022.
A principios de noviembre del presente año, Microsoft corrigió una vulnerabilidad de elevación de privilegios del instalador de Windows, registrada como CVE-2021-41379. Esta vulnerabilidad fue descubierta por el investigador de seguridad Abdelhamid Naceri, que encontró una derivación del parche y una nueva vulnerabilidad de elevación de privilegios de día cero más potente tras examinar la corrección de Microsoft. En resumen, el parche no soluciono dicha vulnerabilidad.
El día Domingo 21 de noviembre, Naceri publicó en GitHub un exploit PoC para el nuevo Zero-day, explicando que funciona en todas las versiones compatibles de Windows. «Esta variante se descubrió durante el análisis del parche CVE-2021-41379. Sin embargo, el fallo no se arregló correctamente, en lugar de dejar caer el bypass», explica Naceri en su escrito. «He optado por descartar esta variante, ya que es más potente que la original».

Además, Naceri explicó que, aunque es posible configurar las políticas de grupo para impedir que los usuarios «estándar» realicen operaciones de instalación de MSI, su Zero-day se salta esta política y funcionará de todos modos.
Actualmente no existe una solución alternativa oficial para mitigar el riesgo que representa esta falla de seguridad. Cualquier intento de parchear el binario directamente romperá Windows Installer, señala Naceri, por lo que la mejor opción para los usuarios y administradores es esperar a que Microsoft cree un nuevo parche realmente funcione.
Más Información
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41379
https://github.com/klinix5/InstallerFileTakeOver
https://nvd.nist.gov/vuln/detail/CVE-2021-41379

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.