Imagen del artículo titulado Microsoft no pudo arreglar correctamente un día cero y ahora todas las versiones de Windows están en riesgo: informe [UPDATE]

Foto: Sam Rutherford

Debido a la terrible vulnerabilidad de día cero que Microsoft no pudo manejar adecuadamente, todas las versiones de Windows están en riesgo. Un investigador de ciberseguridad dijo que se corrigió una falla similar.

La vulnerabilidad recién descubierta es actualmente una prueba de concepto, pero los investigadores creen que las pruebas y ajustes en curso a pequeña escala están sentando las bases para un ataque más amplio.

“Durante nuestra investigación, analizamos las muestras de malware más recientes y pudimos identificar varios [bad actors] Nic Biasini, jefe de alcance de Cisco Talos, nos lo dijo. Beep computadora“Debido al pequeño número, es probable que la gente esté lidiando con código de prueba de concepto o pruebas para actividades futuras”.

Esta vulnerabilidad explota un error de Windows Installer (registrado como CVE-2021-41379) Microsoft afirma haberlo parcheado a principios de este mes. Esta nueva variante permite a los usuarios elevar los privilegios locales a privilegios del SISTEMA, que es el privilegio de usuario más alto disponible en Windows. Una vez en su lugar, el creador de malware puede usar estos permisos para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI y ejecutar el código como administrador. En resumen, pueden hacerse cargo del sistema.

El fin de semana pasado, Abdelhamid Naceri, el investigador de seguridad que descubrió la falla inicial, Publicar en Github Aunque Microsoft ha lanzado un parche, sigue siendo un código de explotación de prueba de concepto válido. Para empeorar las cosas, Naceri cree que esta nueva versión es más peligrosa porque pasa por alto la política de grupo incluida en la instalación del administrador de Windows.

“Esta variante se descubrió durante el análisis del parche CVE-2021-41379. Sin embargo, el error no se corrigió correctamente y se omitió. Elegí abandonar esta variante porque es más poderosa que la original”, escribió Naceri.

BleepingComputer probó Naceri en busca de vulnerabilidades y lo usó “en unos pocos segundos” para abrir un símbolo del sistema con privilegios de SISTEMA desde una cuenta con privilegios “estándar”.

Aunque no tiene que preocuparse demasiado ahora, si se permite que esta vulnerabilidad se propague, podría poner en riesgo miles de millones de sistemas. Vale la pena reiterar que esta vulnerabilidad otorga a los atacantes derechos de administrador sobre las últimas versiones del sistema operativo Windows (incluyendo Windows 10 y Windows 11), estamos hablando de más de mil millones de sistemas. Sin embargo, esto no es un exploit remoto, por lo que los delincuentes necesitan acceso físico a su dispositivo para ejecutar el ataque.

Microsoft marcó la vulnerabilidad inicial como de gravedad media, pero Jason Schultz, el líder técnico del Grupo de Investigación e Inteligencia de Seguridad de Cisco Talos, enfatizó en un informe Entrada en el blog La existencia de un código funcional de prueba de concepto significa que el tiempo es escaso y Microsoft ha lanzado un parche realmente eficaz. Por ahora, no existe una solución o solución para este defecto.

Naseri le dijo a BleepingComputer que no informó a Microsoft sobre la vulnerabilidad antes de hacerla pública, con el fin de solicitar oposición a los pequeños gastos en el programa de recompensas por errores de Microsoft, y recomendó a las empresas de terceros que no lanzaran sus propios parches, porque hacerlo puede dañar el programa de instalación de Windows.

Microsoft es consciente de la vulnerabilidad, pero no proporcionó un calendario de cuándo se lanzará la solución.

“Somos conscientes de esta divulgación y tomaremos las medidas necesarias para garantizar la seguridad y protección de nuestros clientes. El atacante que utilice el método descrito ya debe tener acceso y poder ejecutar código en la máquina de la víctima objetivo”, dijo Microsoft a BleepingComputer.

La empresa suele lanzar parches el “martes de parches” o el segundo martes de cada mes.

Actualización a las 2:00 a.m., hora del este: Actualizamos el título y señalamos la fuente de estas declaraciones de defectos de ciberseguridad (la fuente es un investigador de ciberseguridad Abdulhamid Nasseri). Microsoft respondió a la historia de Gizmodo aclarando que la empresa solucionó la falla original. Naseri piensa Microsoft no solucionó “correctamente” el problema, afirmó haber encontrado un desvío para el parche.Ajustamos el título en consecuencia. De Microsoft:

“[The] La vulnerabilidad revelada es una vulnerabilidad separada. Es inexacto decir que Microsoft no arregló CVE-2021-41379. “

La compañía aún no ha proporcionado actualizaciones a las variantes más nuevas reveladas por Naceri.

READ  Un desarrollador lanzó Android 12 en el legendario Samsung Galaxy S III