Un parche fallido de Microsoft pone en riesgo todas las versiones de Windows

:

Cada versión de Windows está en riesgo debido a una terrible vulnerabilidad de día cero cuando Microsoft no funcionó correctamente. para corregir una falla similar, dice un investigador de seguridad cibernética.

La explotación recién descubierta es actualmente una prueba del concepto, pero los investigadores creen que las pruebas y los ajustes en curso a pequeña escala proporcionan la base para un ataque a mayor escala.

«Durante nuestra investigación, analizamos las últimas muestras de malware y pudimos identificar algunas de ellas. [bad actors] que ya estaban tratando de explotar la operación «, dijo Nick Biasini, jefe de distribución de Cisco Talos. Ordenador que suena:. «Debido a que el volumen es bajo, probablemente se trate de personas que están trabajando en un código de prueba de concepto o experimentando con campañas futuras».

La vulnerabilidad explota el error de Windows Installer (seguido de: CVE-2021-41379:), que Microsoft afirma haber parcheado a principios de este mes. Esta nueva opción permite a los usuarios convertir los privilegios locales en privilegios del SISTEMA, los derechos de usuario más altos disponibles en Windows. Una vez instalado, los desarrolladores de malware pueden usar estos privilegios para reemplazar cualquier archivo ejecutable en el sistema con un código ejecutable MSI como código de administrador. En resumen, pueden hacerse cargo del sistema.

Durante el fin de semana, el investigador de seguridad Abdelhamid Nacher, quien descubrió la falla inicial, publicado en Github Código operativo a prueba de conceptos que funciona a pesar del lanzamiento del parche de Microsoft. Peor aún, Nasser cree que esta nueva versión es aún más peligrosa porque pasa por alto la política de grupo involucrada en la instalación del Administrador de Windows.

«Esta versión se encontró durante el análisis del parche CVE-2021-41379. El error no se corrigió correctamente, pero en lugar de omitir el bypass. «He decidido abandonar esta versión porque es más poderosa que la original», escribió Nasser.

BleepingComputer probó el funcionamiento de Naceri և lo usó en «unos segundos» para abrir un símbolo del sistema desde una cuenta privilegiada «estándar» con permisos del SISTEMA.

O no debe preocuparse demasiado, esta vulnerabilidad podría poner en peligro miles de millones de sistemas si se permite que se propague. Debe reiterarse que este exploit otorga a los atacantes privilegios de administrador en las últimas versiones del sistema operativo Windows, incluidos Windows 10 y Windows 11. estamos hablando de más de mil millones de sistemas. Sin embargo, esto no es una explotación remota, por lo que los malos jugadores necesitarán acceso físico a su dispositivo para llevar a cabo el ataque.

Microsoft describió la vulnerabilidad inicial como moderada, pero Jason Schultz, director técnico de Talos Security Intelligence & Research Group de Cisco, dijo: Entrada en el blog: que tener un código de verificación de concepto funcional significa que el reloj de Microsoft está vibrando, lanzando un parche que realmente funciona. Tal como está, no hay solución ni solución a esta deficiencia.

Nasser, quien le dijo a BleepingComputer que no había notificado a Microsoft sobre la vulnerabilidad antes de que fuera lanzada como una forma de presentar una petición contra pagos más pequeños en el programa de recompensas por errores de Microsoft, no aconsejó a las empresas de terceros que no publicaran sus propios parches, ya que esto romper Windows. instalador

Microsoft es consciente de la vulnerabilidad, pero no ha proporcionado un cronograma de cuándo lanzará el parche.

«Somos conscientes de la divulgación; haremos lo que sea necesario para mantener a nuestros clientes seguros y protegidos. «El atacante que utiliza los métodos descritos ya debería tener acceso al código para ejecutarse en la máquina de la víctima objetivo», dijo Microsoft a BleepingComputer.

La compañía generalmente lanza parches «Patch Tuesday» o el segundo martes de cada mes.

Actualización 2:00 AM ET: Hemos actualizado el título և para mostrar cuál es la fuente de estas fallas de seguridad cibernética (esta fuente es un investigador de seguridad cibernética Abdelhamid Nasseri): Microsoft respondió a la historia de Gizmodo, explicando que la empresa ha corregido el defecto inicial. El cree en Nasser Microsoft no «corrigió» esa corrección. afirma haber encontrado un parche para el parche. Hemos ajustado nuestro título en consecuencia. De Microsoft.

«[The] La vulnerabilidad identificada es una vulnerabilidad separada. Es incorrecto decir que Microsoft no corrigió CVE-2021-41379 «.

La compañía no proporcionó una actualización sobre la nueva versión presentada por Naceri.