O pesquisador de segurança Abdelhamid Naceri divulgou recentemente uma PoC (Prova de Conceito) para uma falha zero-day de elevação de privilégios locais no Windows (versões 10, 11 e Server).

A vulnerabilidade pode ser explorada por atacantes para elevar seus privilégios no sistema afetado, podendo então realizar diversas atividades maliciosas. Naceri publicou uma prova de conceito funcional para a falha zero-day no GitHub.

O pesquisador descobriu o zero-day (já relatado à Microsoft) ao analisar um patch de segurança lançado pela Microsoft como parte do Patch Tuesday em novembro para outra vulnerabilidade de elevação de privilégio do Windows Installer, catalogada na CVE-2021-41379.

O especialista também conseguiu “bypassar” (contornar) o patch lançado pela Microsoft.

Esta variante foi descoberta durante a análise do patch relatado na CVE-2021-41379. A falha não foi corrigida corretamente e o bypass no patch foi possível de ser realizado. Escolhi realmente focar nesta variante, já que ela é mais poderosa que a original”, escreveu o especialista.

Também me certifiquei de que a prova de conceito fosse extremamente confiável e não precisasse de muitos ajustes, por isso ela funciona na maioria das tentativas. A prova de conceito sobrescreve o serviço de elevação da DACL (algo como uma Lista de Controle Acesso sem Restrições) do Microsoft Edge e se copia no local do arquivo e executa rotinas para obter privilégios elevados. Embora essa técnica possa não funcionar em todas as instalações, porque as versões do Windows, como as Server 2016 e 2019, podem não ter o serviço de elevação. Deixei deliberadamente o código que assume o arquivo aberto, então qualquer arquivo especificado no primeiro argumento será considerado na condição de que a conta SYSTEM deve ter acesso a ele e o arquivo não pode estar em uso. Assim, você mesmo(a) pode elevar seus privilégios”.

Enquanto trabalhava no bypass do patch para a CVE-2021-41379, o especialista criou dois pacotes MSI (instaladores do Windows) para acionar um comportamento único no serviço do Windows Installer. Um destes pacotes está relacionado com o bypass.

Naceri informou ao site Bleeping Computer que divulgou o zero-day por conta dos valores baixos pagos pela Microsoft como parte de seu programa de recompensa por bug.

Demonstração feita pelo site Bleeping Computer da prova de conceito

Já tem malware explorando o zero-day

Criadores de malware já estão tentando usar o exploit da prova de conceito do pesquisador Abdelhamid Naceri para lançar novos ataques.

Especialistas da empresa Cisco Talos anunciaram já ter detectado amostras de malware que estão tentando explorar esta vulnerabilidade

A Cisco Talos está liberando novas regras para o SNORT (solução de IPS da Cisco) para proteger contra a exploração de uma vulnerabilidade zero-day de elevação de privilégio no Microsoft Windows Installer. Esta vulnerabilidade permite que um invasor com uma conta de usuário limitada eleve seus privilégios para se tornar um administrador. Esta vulnerabilidade afeta todas as versões do Microsoft Windows, incluindo o Windows 11 e o Server 2022 totalmente corrigidos”, conforme consta no boletim publicado pela Cisco Talos.

No momento, os especialistas não estão cientes de nenhuma campanha de malware em grande escala usando o exploit da prova de conceito. Prováveis atacantes estão trabalhando no código e testando-o para ataques futuros.

Os especialistas acreditam ainda que os atacantes começarão a explorar a vulnerabilidade muito em breve, por este motivo, é provável que a Microsoft trabalhe em um patch de emergência para proteger seus clientes.

O que fazer?

A melhor solução alternativa disponível no momento em que este documento foi escrito é esperar que a Microsoft libere um novo patch de segurança, devido a complexidade desta vulnerabilidade“, explicou Naceri.

Fonte:

https://securityaffairs.co/wordpress/124909/hacking/windows-zero-day-exploit.html

https://securityaffairs.co/wordpress/124940/malware/windows-installer-zero-day-malware.html

https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/

Créditos da imagem usada na capa do post:

https://computerworld.com.br/seguranca/hackers-compartilham-ferramentas-de-visao-computacional-para-aumentar-suas-capacidades-de-ataques-diz-relatorio/

O que achou?

Animado
1
Feliz
0
Amei
0
Não tenho certeza
0
Bobo
0
RMJ
Adoro letras verdes sob um fundo preto...