Détection des Exploits Zero-Day du Programme d’Installation de Windows (CVE-2021-41379)
Table des matières :
Un moment de chance pour les acteurs malveillants et encore un autre casse-tête majeur pour les défenseurs du cyberespace ! Le 22 novembre 2021, le chercheur en sécurité Abdelhamid Naceri a publié un exploit de preuve de concept (PoC) pleinement fonctionnel pour la nouvelle vulnérabilité zero-day de Windows Installer. La faille (CVE-2021-41379) permet aux adversaires d’obtenir des privilèges SYSTEM sur tout appareil exécutant Windows 10, Windows 11 et Windows Server. Évidemment, il n’a pas fallu longtemps pour observer des attaques exploitant ce problème de sécurité notoire dans la nature.
PoC InstallerFileTakeOver pour CVE-2021-41379
La vulnérabilité en question est un bug d’élévation de privilège (EoP) de Windows Installer initialement corrigé par Microsoft en novembre 2021. Pourtant, le bug n’a pas été correctement corrigé, ce qui a permis à Abdelhamid Naceri, le chercheur qui a révélé le problème, de trouver un moyen de contourner les protections. Pire encore, lors de son enquête, Naceri a découvert un problème EoP bien plus grave qui affecte toutes les versions de Windows actuellement prises en charge.
Sur la base de ses découvertes, Naceri a publié un exploit PoC complet, baptisé « InstallerFileTakeOver ». S’il est exploité, le PoC permet aux hackers d’atteindre des privilèges administrateur lorsqu’ils se connectent à une machine Windows avec Edge installé. Cette routine malveillante est réalisée en remplaçant le DACL du Microsoft Edge Elevation Service pour remplacer n’importe quel fichier exécutable sur le système par un fichier MSI. En conséquence, un adversaire peut exécuter tout code malveillant en tant qu’administrateur. Notamment, InstallerFileTakeOver permet de contourner les politiques de groupe qui empêchent les utilisateurs « Standard » de lancer des opérations d’installation MSI, rendant l’exploit PoC encore plus dangereux.
Selon le commentaire de Bleeping Computer , Naceri a décidé de publier l’exploit de preuve de concept pour CVE-2021-41379 pour protester contre la réduction significative des récompenses de chasse aux bugs par Microsoft. Et les acteurs malveillants en profitent. Le groupe de recherche et d’intelligence en sécurité Cisco Talos, Naceri decided to release the proof-of-concept exploit for CVE-2021-41379 to protest against significantly decreased bug bounty rewards by Microsoft. And threat actors are taking advantage of this. The Cisco Talos Security Intelligence and Research group rapporte que le PoC est reproduit avec succès. De plus, les chercheurs fournissent des preuves de l’exploitation étant activement utilisé dans la nature.
Détection et atténuation de CVE-2021-41379
Le PoC peut être exploité avec succès sur tout appareil Windows, y compris les machines Windows 10, Windows 11 et Windows Server 2022 entièrement corrigées. Les experts recommandent d’éviter toute tentative d’atténuation en raison du risque d’endommager Windows Installer. La meilleure décision dans cette situation est d’attendre la version Patch Tuesday de décembre de Microsoft, qui apportera très probablement le correctif CVE-2021-41379.
Pour identifier l’activité malveillante associée au zéro-day de Windows Installer, les praticiens de la sécurité peuvent télécharger un ensemble de règles Sigma triées disponibles sur la plateforme Detection as Code de SOC Prime :
PoC LPE InstallerFileTakeOver CVE-2021-41379
La détection a des traductions pour les plateformes SIEM & XDR suivantes : Azure Sentinel, Splunk, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB, et Securonix.
La règle est alignée avec le dernier cadre ATT&CK® v.10 abordant la tactique d’accès initial et la technique d’exploitation des applications accessibles au public (T1190). v.10 addressing the Initial Access tactic and the Exploit Public-Facing Application technique (T1190).
La détection a des traductions pour les plateformes SIEM & XDR suivantes : Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, et Securonix.
La règle est alignée avec le dernier cadre MITRE ATT&CK v.10 abordant la tactique d’élévation de privilèges avec l’exploitation pour l’élévation de privilèges comme technique principale (T1068).
Événement de création de fichier InstallerFileTakeOver LPE CVE-2021-41379
La détection a des traductions pour les plateformes SIEM & XDR suivantes : Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, et Apache Kafka ksqlDB.
La règle est alignée avec le dernier cadre MITRE ATT&CK v.10 abordant la tactique d’élévation de privilèges et la technique d’exploitation pour l’élévation de privilèges (T1068).
Possible activité d’exploitation InstallerFileTakeOver [CVE-2021-41379] (via événement de fichier)
La détection a des traductions pour les plateformes SIEM & XDR suivantes : Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, et Securonix.
La règle est alignée avec le dernier cadre MITRE ATT&CK v.10 abordant la tactique d’évasion de la défense. Plus précisément, la détection aborde la technique de modification des permissions des fichiers et des répertoires (T1222) avec sa sous-technique Modification des permissions des fichiers et répertoires : Modification des permissions des fichiers et répertoires Windows (T1222.001).
Inscrivez-vous gratuitement à la plateforme Detection as Code de SOC Prime et faites passer vos opérations de découverte et de chasse aux menaces au niveau supérieur. Chassez instantanément les dernières menaces au sein des plus de 20 technologies SIEM et XDR prises en charge, augmentez la conscience de toutes les dernières attaques dans le contexte des vulnérabilités exploitées et de la matrice MITRE ATT&CK, et rationalisez vos opérations de sécurité. Enviede rendre le monde plus sûr ? Rejoignez notre programme Threat Bounty, partagez vos règles Sigma et Yara via le dépôt Threat Detection Marketplace, et obtenez des récompenses récurrentes pour votre contribution individuelle ! Consultez notre guide pour débutants pour apprendre ce que sont les règles Sigma et comment les créer.
