Após a correção falhada, o pesquisador libera a falha do exploit para Windows EoP (CVE-2021-41379)

Views: 289
0 0
Read Time:1 Minute, 42 Second

Uma elevação local da vulnerabilidade de privilégio (CVE-2021-41379) no Windows Installer que a Microsoft supostamente corrigiu na Patch Tuesday de novembro de 2021 ainda é, de acordo com seu descobridor, explorável.

Além disso, já está sendo aproveitado por desenvolvedores de malware.

Sobre a falha e a façanha

Abdelhamid Naceri, que relatou a falha através da Trend Micro Zero Day Initiative, analisou o patch para CVE-2021-41379 e descobriu que o bug “não foi corrigido corretamente”.

Então ele criou e disponibilizou no GitHub um exploit confiável de prova de conceito (apelidado de “InstallerFileTakeOver”) que – outros confirmaram – funciona no Windows 10, 11 e Windows Server 2022 totalmente corrigidos.

Naceri diz que o exploit PoC substitui o Microsoft Edge Elevation Service DACL (lista discricionária de controle de acesso) e se copia para o local de serviço e o executa para obter privilégios elevados.

Para que o exploit funcione, um invasor já deve ter acesso à máquina Windows de destino e o Microsoft Edge deve estar instalado nela.

Mitigação de riscos

Atualmente, não há solução alternativa oficial para mitigar o risco representado por essa falha e seu patch fracassado. Qualquer tentativa de corrigir o binário diretamente quebrará o Windows Installer, observa Naceri, então a melhor aposta de usuários e administradores é esperar que a Microsoft crie um novo patch que (idealmente) realmente funcione.

Enquanto isso, Jaeson Schultz, Líder Técnico do Cisco Talos Intelligence Group, compartilhou que já detectou amostras de malware na natureza que estão tentando aproveitar essa vulnerabilidade.

“Como o volume é baixo, provavelmente são pessoas trabalhando com o código de prova de conceito ou testando para campanhas futuras. Isso é apenas mais uma evidência sobre a rapidez com que os adversários trabalham para armar uma exploração disponível publicamente”, disse ele à Bleeping Computer.

Até que a Microsoft entregue uma correção, as empresas podem usar as regras Snort fornecidas pela Cisco para detectar ataques direcionados ao CVE-2021-41379.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS