Blog

Se descubre un nuevo ZERO-DAY para Windows que permitiría tener el ROL de Administrador

Un investigador de ciberseguridad ha revelado públicamente un nuevo exploit para una nueva vulnerabilidad de elevación de privilegios locales de Windows (cuya vulnerabilidad es considerará un ZERO-DAY), que otorga el rol de administrador en los sistemas operativos de Windows 10, Windows 11 y finalmente, Windows Server.

Gracias al uso de esta vulnerabilidad, los actores de amenazas con acceso limitado a un dispositivo comprometido pueden elevar fácilmente sus privilegios para ayudar a propagarse lateralmente dentro de la red. La vulnerabilidad afecta a todas las versiones compatibles de Windows, incluyendo Windows 10, Windows 11 y Windows Server 2022.

A principios de noviembre del presente año, Microsoft corrigió una vulnerabilidad de elevación de privilegios del instalador de Windows, registrada como CVE-2021-41379. Esta vulnerabilidad fue descubierta por el investigador de seguridad Abdelhamid Naceri, que encontró una derivación del parche y una nueva vulnerabilidad de elevación de privilegios de día cero más potente tras examinar la corrección de Microsoft. En resumen, el parche no soluciono dicha vulnerabilidad.

El día Domingo 21 de noviembre, Naceri publicó en GitHub un exploit PoC para el nuevo Zero-day, explicando que funciona en todas las versiones compatibles de Windows. «Esta variante se descubrió durante el análisis del parche CVE-2021-41379. Sin embargo, el fallo no se arregló correctamente, en lugar de dejar caer el bypass», explica Naceri en su escrito. «He optado por descartar esta variante, ya que es más potente que la original».

Además, Naceri explicó que, aunque es posible configurar las políticas de grupo para impedir que los usuarios «estándar» realicen operaciones de instalación de MSI, su Zero-day se salta esta política y funcionará de todos modos.

Actualmente no existe una solución alternativa oficial para mitigar el riesgo que representa esta falla de seguridad. Cualquier intento de parchear el binario directamente romperá Windows Installer, señala Naceri, por lo que la mejor opción para los usuarios y administradores es esperar a que Microsoft cree un nuevo parche realmente funcione.

Más Información

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41379

https://github.com/klinix5/InstallerFileTakeOver

https://nvd.nist.gov/vuln/detail/CVE-2021-41379

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad