Microsoft Risolve una Vulnerabilità di Escalation dei Privilegi di 12 Anni in Windows Defender
Indice:
A febbraio 2021, Microsoft ha corretto un bug di escalation dei privilegi in Microsoft Defender Antivirus (precedentemente Windows Defender) che potrebbe fornire agli attori delle minacce la possibilità di ottenere diritti di amministratore sull’host vulnerabile e disabilitare i prodotti di sicurezza preinstallati. Gli esperti di SentinelOne, che hanno rivelato il problema, riportano che la vulnerabilità è stata introdotta nel 2009 ed è rimasta non divulgata per oltre 12 anni.
Descrizione della vulnerabilità di Windows Defender
Il problema (CVE-2021-24092) deriva da una configurazione errata relativa al driver BTR.sys, che lavora per eliminare le risorse del file system e del registro associate al software dannoso sulla macchina compromessa. Poiché il driver non ha un collegamento di verifica, gli avversari possono produrne uno dannoso per sovrascrivere file arbitrari. Di conseguenza, CVE-2021-24092 potrebbe essere sfruttato da un hacker locale senza privilegi in una varietà di intrusioni che non coinvolgono l’interazione dell’utente.
Gli analisti di sicurezza presumono che la vulnerabilità sia rimasta non divulgata per anni poiché il driver di solito non è presente sul disco rigido ma viene attivato solo in caso di necessità. Nonostante la vulnerabilità sia stata introdotta in Windows Defender molto tempo fa, non ci sono indicazioni di sfruttamenti in natura. Tuttavia, i ricercatori credono che gli avversari tenteranno di sfruttare questa falla di sicurezza contro gli utenti non aggiornati dopo la divulgazione pubblica.
CVE-2021-24092: Rilevamento e Mitigazione
SentinelOne ha segnalato la vulnerabilità al Microsoft Security Response Center nel novembre 2020 e il venditore l’ha corretta con la versione del 9 febbraio 2021. L’ultima versione di Microsoft Malware Protection Engine interessata da questo bug è la 1.1.17700.4. La prima versione che ha corretto questo problema è 1.1.17800.5. La patch è stata introdotta con la versione 1.1.17800.5 di Microsoft Malware Protection Engine, quindi sei protetto se hai installato questa versione (o successive).
In particolare, la patch per CVE-2021-24092 è installata automaticamente per tutti gli host che supportano le versioni di Windows Defender interessate. Verifica di avere gli aggiornamenti di Windows Defender abilitati per procedere con l’aggiornamento automatico. In alternativa, puoi applicare le correzioni manualmente per una mitigazione immediata.
Per identificare l’attività malevola associata a CVE-2021-24092, puoi scaricare una regola Sigma dedicata da SOC Prime:
https://tdm.socprime.com/tdm/info/BHIyVCep9T3w/ikMPrHcBTwmKwLA9LQs8/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Microsoft Defender ATP, Carbon Black, SentinelOne
MITRE ATT&CK:
Tattiche: Escalation dei Privilegi
Tecniche: Sfruttamento per Escalation dei Privilegi (T1068)
A meno che tu non abbia un accesso a pagamento al Threat Detection Marketplace, questa regola Sigma può essere sbloccata attivando la tua prova gratuita sotto un abbonamento comunitario.
Rimani sintonizzato sul nostro blog per raggiungere le rilevazioni più rilevanti delle minacce emergenti. Ulteriori regole relative a CVE-2021-24092 verranno aggiunte a questo articolo.
Iscriviti al Threat Detection Marketplace, una piattaforma di contenuti come servizio (CaaS) leader mondiale che fornisce algoritmi di rilevamento, arricchimento, integrazione e automazione per supportare gli operatori della sicurezza mentre traducono big data, log e telemetria cloud in segnali di cybersecurity. Puoi trasmettere contenuti SOC curati direttamente agli strumenti SIEM, EDR, NSM e SOAR a tua scelta, potenziando le capacità di rilevamento delle minacce. Vuoi creare le tue regole Sigma e supportare la comunità globale di cacciatori di minacce? Unisciti al nostro Programma di Ricompense per le Minacce!
