Detección de exploit de Día Cero del Instalador de Windows (CVE-2021-41379)
Tabla de contenidos:
¡Un momento de suerte para los actores de amenazas y otra gran molestia para los defensores cibernéticos! El 22 de noviembre de 2021, el investigador de seguridad Abdelhamid Naceri lanzó un exploit de prueba de concepto (PoC) completamente funcional para la nueva vulnerabilidad de día cero del Instalador de Windows. La falla (CVE-2021-41379) permite a los adversarios obtener privilegios de SISTEMA en cualquier dispositivo que ejecute Windows 10, Windows 11 y Windows Server. Evidentemente, no pasó mucho tiempo para observar ataques que aprovechaban el notorio problema de seguridad en el entorno real.
PoC de InstallerFileTakeOver para CVE-2021-41379
La vulnerabilidad en cuestión es un error de elevación de privilegios (EoP) en el Instalador de Windows originalmente parchado por Microsoft en noviembre de 2021. Sin embargo, el error no fue arreglado adecuadamente, lo que permitió a Abdelhamid Naceri, el investigador que reveló el problema, encontrar una forma de superar las protecciones. Lo que es peor, durante su investigación, Naceri descubrió un fallo de elevación de privilegios mucho más grave que afecta a todas las versiones de Windows actualmente soportadas.
Basado en sus hallazgos, Naceri lanzó un exploit PoC completamente desarrollado, denominado “InstallerFileTakeOver”. Si se explota, el PoC permite a los hackers obtener privilegios de administrador al iniciar sesión en una máquina Windows con Edge instalado. Esta rutina maliciosa se ejecuta sobrescribiendo el DACL del Servicio de Elevación de Microsoft Edge para reemplazar cualquier archivo ejecutable en el sistema con un archivo MSI. Como resultado, un adversario puede ejecutar cualquier código malicioso como administrador. Notablemente, InstallerFileTakeOver permite eludir las políticas de grupo que impiden que los usuarios “Estándar” lancen operaciones del instalador MSI, haciendo el exploit PoC aún más peligroso.
Según el comentario de Bleeping Computer commentary, Naceri decidió lanzar el exploit de prueba de concepto para CVE-2021-41379 como protesta contra la disminución significativa de las recompensas por encontrar errores por parte de Microsoft. Y los actores de amenazas están aprovechando esto. El grupo de Inteligencia y Seguridad de Talos de Cisco informa que el PoC se reproduce con éxito. Además, los investigadores proporcionan evidencia de que el exploit se utiliza activamente en el entorno real.
Detección y Mitigación de CVE-2021-41379
El PoC se puede explotar con éxito en cualquier dispositivo Windows, incluidas las máquinas Windows 10, Windows 11 y Windows Server 2022 completamente parcheadas. Los expertos recomiendan evitar cualquier intento de mitigación debido al riesgo de dañar el Instalador de Windows. La mejor decisión en esta situación es esperar la publicación de Patch Tuesday de diciembre de Microsoft, que probablemente traerá el parche CVE-2021-41379.
Para identificar la actividad maliciosa asociada con la vulnerabilidad de día cero del Instalador de Windows, los profesionales de seguridad pueden descargar un conjunto de reglas Sigma seleccionadas disponibles en la plataforma Detection as Code de SOC Prime:
PoC LPE InstallerFileTakeOver CVE-2021-41379
La detección tiene traducciones para las siguientes plataformas SIEM & XDR: Azure Sentinel, Splunk, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB y Securonix.
La regla está alineada con el último marco ATT&CK® v.10 que aborda la táctica de Acceso Inicial y la técnica de Aplicación que Explota Públicamente (T1190). v.10 addressing the Initial Access tactic and the Exploit Public-Facing Application technique (T1190).
Posible Actividad de Explotación de LPE InstallerFileTakeOver CVE-2021-41379
La detección tiene traducciones para las siguientes plataformas SIEM & XDR: Azure Sentinel, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB y Securonix.
La regla está alineada con el último marco MITRE ATT&CK v.10 que aborda la táctica de Escalada de Privilegios con Explotación para la Escalada de Privilegios como la técnica principal (T1068).
Evento de Creación de Archivo LPE InstallerFileTakeOver CVE-2021-41379
La detección tiene traducciones para las siguientes plataformas SIEM & XDR: Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness y Apache Kafka ksqlDB.
La regla está alineada con el último marco MITRE ATT&CK v.10 que aborda la táctica de Evasión de Defensa y la técnica de Explotación para la Escalada de Privilegios (T1068).
La detección tiene traducciones para las siguientes plataformas SIEM & XDR: Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB y Securonix.
La regla está alineada con el último marco MITRE ATT&CK v.10 que aborda la táctica de Evasión de Defensa. Más específicamente, la detección aborda la Modificación de Permisos de Archivos y Directorios (T1222) con su sub-técnica Modificación de Permisos de Archivos y Directorios: Modificación de Permisos de Archivos y Directorios de Windows (T1222.001).
Regístrese gratis en la plataforma Detection as Code de SOC Prime y lleve sus operaciones de descubrimiento y búsqueda de amenazas al siguiente nivel. Busque instantáneamente las amenazas más recientes dentro de más de 20 tecnologías SIEM y XDR compatibles, mejore la conciencia de todos los ataques más recientes en el contexto de vulnerabilidades explotadas y la matriz MITRE ATT&CK, y simplifique sus operaciones de seguridad. ¿Desea hacer del mundo un lugar más seguro? Únase a nuestro programa Threat Bounty, comparta sus reglas Sigma y Yara a través del repositorio Threat Detection Marketplace y obtenga recompensas recurrentes por su contribución individual. Consulte nuestra guía para principiantes para aprender qué son las reglas Sigma y cómo crearlas.
