Cada versión de Windows es en peligro debido a La aterradora vulnerabilidad de día cero después de que Microsoft no solucionara el error.

El exploit se considera actualmente una prueba de concepto, pero los investigadores creen que las pruebas y ajustes continuos a pequeña escala de este exploit allanan el camino para un ataque más amplio.

“Durante nuestra investigación, analizamos muestras recientes de malware y pudimos identificar varios de ellos [bad actors] que en realidad estaba tratando de aprovechar la laguna “, Nick Biacini, NSead de oUtrich, RViejo Computadora. “Debido a que el volumen es bajo, es probable que funcionen con pruebas de concepto o pruebas de campañas futuras”.

La vulnerabilidad se aprovecha de un error de Windows Installer (registrado como CVE-2021-41379) que Microsoft pensó parcheado a principios de este mes. La falla brinda a los usuarios la capacidad de elevar los privilegios locales a privilegios del SISTEMA, que son los derechos de usuario más altos disponibles en Windows. Una vez colocado, los creadores de malware pueden usar estos privilegios para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI para ejecutar código como administrador. En resumen, pueden controlar el sistema.

Durante el fin de semana, el investigador de seguridad Abd al-Hamid al-Nasiri descubrió la falla inicial, Publicado en Github El código de explotación de prueba de concepto funciona a pesar de la versión de depuración de Microsoft. Peor aún, Naceri cree que esta nueva versión es más peligrosa porque pasa por alto la política de grupo integrada en la instalación administrativa de Windows.

“Esta variante se descubrió al analizar el parche CVE-2021-41379. Sin embargo, el error no se solucionó correctamente, en lugar de eliminar la anulación. Elegí abandonar esta variante porque es más poderosa que la variante original”.

BleepingComputer probó el exploit de Naceri y, en “unos segundos”, lo usó para abrir un símbolo del sistema con permisos del SISTEMA desde una cuenta con privilegios “estándar”.

Si bien no debería preocuparse demasiado por el momento, esta vulnerabilidad podría poner en riesgo miles de millones de sistemas si se permite que se propaguen. Vale la pena señalar que este exploit otorga a los atacantes privilegios de administrador en las últimas versiones del sistema operativo Windows, incluidos Windows 10 y Windows 11; estamos hablando de más de mil millones de sistemas. Esto no es explotación remota A pesar de esto, los malos actores necesitarán acceso físico a su dispositivo para llevar a cabo el ataque.

Microsoft describió la vulnerabilidad inicial como moderadamente grave, pero Jason Schultz, entécnico paraEl líder del grupo de investigación e inteligencia de seguridad Talos de Cisco, en Entrada en el blog Tener un código funcional de prueba de concepto significa que el tiempo corre para que Microsoft lance un parche que realmente funciona. En su forma actual, no existe una solución alternativa para este error.

Naciri, quien le dijo a BleepingComputer que no envió un aviso a Microsoft sobre la vulnerabilidad antes de que fuera lanzada al público como una forma de solicitar pagos más pequeños en el programa de recompensas por errores de Microsoft, desaconsejó que las empresas de terceros lancen sus propios parches porque hacerlo podría fallar. Windows. instalador.

Microsoft es consciente de la vulnerabilidad, pero no ha proporcionado un cronograma de cuándo se lanzará la solución.

“Somos conscientes de la divulgación y haremos todo lo necesario para mantener a nuestros clientes seguros y protegidos. Un atacante que utilice los métodos descritos debe tener acceso y la capacidad de ejecutar código en la máquina de la víctima objetivo”, dijo Microsoft a BleepingComputer.

La empresa normalmente paga las correcciones el “martes de parches”, o el segundo martes de cada mes. Nos hemos puesto en contacto con Microsoft para obtener más detalles y actualizaremos este artículo si recibimos más detalles.