Rilevare gli exploit della vulnerabilità zero-day di Windows Installer (CVE-2021-41379)

[post-views]
Novembre 25, 2021 · 5 min di lettura
Rilevare gli exploit della vulnerabilità zero-day di Windows Installer (CVE-2021-41379)

Un momento di fortuna per gli attori delle minacce e un’altra grande preoccupazione per i difensori informatici! Il 22 novembre 2021, il ricercatore di sicurezza Abdelhamid Naceri ha rilasciato un exploit proof-of-concept (PoC) completamente funzionante per la nuova vulnerabilità zero-day di Windows Installer. Il difetto (CVE-2021-41379) consente agli avversari di ottenere privilegi SYSTEM su qualsiasi dispositivo che esegue Windows 10, Windows 11 e Windows Server. Ovviamente, non ci è voluto molto per osservare attacchi che sfruttano il noto problema di sicurezza allo stato selvatico.

InstallerFileTakeOver PoC per CVE-2021-41379

La vulnerabilità in questione è un bug di elevazione dei privilegi (EoP) di Windows Installer inizialmente corretto da Microsoft nel novembre 2021. Tuttavia, il bug non è stato corretto adeguatamente, il che ha permesso ad Abdelhamid Naceri, il ricercatore che ha rivelato il problema, di trovare un modo per superare le protezioni. Ancora peggio, durante la sua indagine, Naceri ha scoperto un difetto EoP molto più grave che colpisce tutte le versioni di Windows attualmente supportate.

Basato sulle sue scoperte, Naceri ha rilasciato un exploit PoC completo, denominato “InstallerFileTakeOver”. Se sfruttato, il PoC consente agli hacker di ottenere privilegi amministrativi quando accedono a una macchina Windows con Edge installato. Questa routine malevola viene eseguita sovrascrivendo il servizio di elevazione di Microsoft Edge DACL per sostituire qualsiasi file eseguibile sul sistema con un file MSI. Di conseguenza, un avversario può eseguire qualsiasi codice malevolo come amministratore. Notoriamente, InstallerFileTakeOver consente di aggirare le politiche di gruppo che impediscono agli utenti “Standard” di avviare operazioni dell’installatore MSI, rendendo l’exploit PoC ancora più pericoloso.

Secondo il Bleeping Computer commento, Naceri ha deciso di rilasciare l’exploit proof-of-concept per CVE-2021-41379 per protestare contro le ricompense dei bug bounty significativamente ridotte da Microsoft. E gli attori delle minacce ne stanno approfittando. Il gruppo Cisco Talos Security Intelligence and Research riferisce che il PoC è stato riprodotto con successo. Inoltre, i ricercatori forniscono prove dell’exploit che viene attivamente utilizzato allo stato selvatico.

Rilevamento e Mitigazione di CVE-2021-41379

Il PoC può essere sfruttato con successo su qualsiasi dispositivo Windows, incluse le macchine Windows 10, Windows 11 e Windows Server 2022 completamente corrette. Gli esperti raccomandano di evitare qualsiasi tentativo di mitigazione a causa del rischio di compromettere Windows Installer. La decisione migliore in questa situazione è attendere il rilascio del Patch Tuesday di dicembre da parte di Microsoft, che molto probabilmente porterà la patch CVE-2021-41379.

Per identificare l’attività malevola associata allo zero-day di Windows Installer, i professionisti della sicurezza possono scaricare un set di regole Sigma curate disponibili nella piattaforma Detection as Code di SOC Prime:

LPE InstallerFileTakeOver PoC CVE-2021-41379

Il rilevamento dispone di traduzioni per le seguenti piattaforme SIEM & XDR: Azure Sentinel, Splunk, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB e Securonix.

La regola è allineata con l’ultimo framework ATT&CK® v.10 che riguarda la tattica Initial Access e la tecnica Exploit Public-Facing Application (T1190). v.10 addressing the Initial Access tactic and the Exploit Public-Facing Application technique (T1190).

Evento di Creazione File LPE InstallerFileTakeOver CVE-2021-41379

Il rilevamento dispone di traduzioni per le seguenti piattaforme SIEM & XDR: Azure Sentinel, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB e Securonix.

La regola è allineata con l’ultimo framework MITRE ATT&CK v.10 che riguarda la tattica di Privilege Escalation con Exploitation for Privilege Escalation come tecnica principale (T1068).

File Create Event InstallerFileTakeOver LPE CVE-2021-41379

Il rilevamento dispone di traduzioni per le seguenti piattaforme SIEM & XDR: Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness e Apache Kafka ksqlDB.

La regola è allineata con l’ultimo framework MITRE ATT&CK v.10 che riguarda la tattica di Privilege Escalation e la tecnica Exploitation for Privilege Escalation (T1068).

Possibile Attività di Exploitation InstallerFileTakeOver [CVE-2021-41379] (tramite evento file)

Il rilevamento dispone di traduzioni per le seguenti piattaforme SIEM & XDR: Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB e Securonix.

La regola è allineata con l’ultimo framework MITRE ATT&CK v.10 che riguarda la tattica Defense Evasion. Più precisamente, il rilevamento riguarda la tecnica di Modifica delle autorizzazioni di file e directory (T1222) con la sua sotto-tecnica Modifica delle autorizzazioni di file e directory: Modifica delle autorizzazioni di file e directory in Windows (T1222.001).

Registrati gratuitamente sulla piattaforma Detection as Code di SOC Prime e porta le tue operazioni di scoperta e caccia delle minacce al livello successivo. Caccia istantaneamente le minacce più recenti all’interno di oltre 20 tecnologie SIEM e XDR supportate, aumenta la consapevolezza di tutti gli attacchi più recenti nel contesto delle vulnerabilità sfruttate e della matrice MITRE ATT&CK, e ottimizza le tue operazioni di sicurezza. Desideri rendere il mondo un posto più sicuro? Unisciti al nostro programma Threat Bounty, condividi le tue regole Sigma e Yara tramite il repository del Threat Detection Marketplace e ottieni ricompense ricorrenti per il tuo contributo individuale! Consulta la nostra guida per i principianti per imparare cosa sono le regole Sigma e come crearle.

Vai alla Piattaforma Unisciti a Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Blog, Piattaforma SOC Prime — 3 min di lettura
Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Steven Edwards
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko