Detectando Explorações de Dia Zero do Instalador do Windows (CVE-2021-41379)
Índice:
Um momento de sorte para os atores de ameaça e mais uma grande dor de cabeça para os defensores cibernéticos! Em 22 de novembro de 2021, o pesquisador de segurança Abdelhamid Naceri divulgou um exploit de prova de conceito (PoC) totalmente funcional para a nova vulnerabilidade zero-day do Windows Installer. A falha (CVE-2021-41379) permite que adversários obtenham privilégios de SYSTEM em qualquer dispositivo executando Windows 10, Windows 11 e Windows Server. Obviamente, não demorou muito para observar ataques explorando a notória questão de segurança em ação.
InstallerFileTakeOver PoC para CVE-2021-41379
A vulnerabilidade em questão é um bug de elevação de privilégio (EoP) no Windows Installer inicialmente corrigido pela Microsoft em novembro de 2021. No entanto, o bug não foi corrigido corretamente, o que permitiu que Abdelhamid Naceri, o pesquisador que revelou o problema, encontrasse uma maneira de superar as proteções. Pior ainda, durante sua investigação, Naceri descobriu uma falha EoP muito mais grave que afeta todas as versões atualmente suportadas do Windows.
Com base em suas descobertas, Naceri lançou um exploit PoC completo, chamado “InstallerFileTakeOver”. Se explorado, o PoC permite que hackers alcancem privilégios de administrador ao fazer login em uma máquina Windows com Edge instalado. Essa rotina maliciosa é realizada sobrescrevendo o DACL do Microsoft Edge Elevation Service para substituir qualquer arquivo executável no sistema por um arquivo MSI. Como resultado, um adversário pode executar qualquer código malicioso como administrador. Notavelmente, o InstallerFileTakeOver permite contornar as políticas de grupo que impedem usuários “Padrão” de iniciar operações do instalador MSI, tornando o exploit PoC ainda mais perigoso.
De acordo com o Bleeping Computer comentário, Naceri decidiu divulgar o exploit de prova de conceito para CVE-2021-41379 para protestar contra a diminuição significativa das recompensas por bugs da Microsoft. E os atores de ameaça estão aproveitando isso. O grupo Cisco Talos de Inteligência e Pesquisa em Segurança reporta que o PoC foi reproduzido com sucesso. Além disso, pesquisadores fornecem evidências de que o exploit está sendo utilizado ativamente em ação.
Detecção e Mitigação CVE-2021-41379
O PoC pode ser explorado com sucesso em qualquer dispositivo Windows, incluindo máquinas Windows 10, Windows 11 e Windows Server 2022 totalmente corrigidas. Especialistas recomendam evitar quaisquer tentativas de mitigação devido ao risco de quebrar o Windows Installer. A melhor decisão nesta situação é aguardar o lançamento do Patch Tuesday da Microsoft em dezembro, que provavelmente trará a correção para o CVE-2021-41379.
Para identificar a atividade maliciosa associada ao zero-day do Windows Installer, os praticantes de segurança podem baixar um conjunto de regras Sigma selecionadas disponíveis na plataforma Detection as Code do SOC Prime:
PoC LPE InstallerFileTakeOver CVE-2021-41379
A detecção possui traduções para as seguintes plataformas SIEM & XDR: Azure Sentinel, Splunk, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB e Securonix.
A regra está alinhada com a última MITRE ATT&CK® MITRE ATT&CK v.10 abordando a tática de Acesso Inicial e a técnica de Exploração de Aplicações Voltadas ao Público (T1190).
Possível atividade de exploração InstallerFileTakeOver LPE CVE-2021-41379
A detecção possui traduções para as seguintes plataformas SIEM & XDR: Azure Sentinel, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB e Securonix.
A regra está alinhada com a última framework MITRE ATT&CK v.10 abordando a tática de Escalada de Privilégio com Exploração para Escalada de Privilégio como técnica principal (T1068).
Evento de Criação de Arquivo InstallerFileTakeOver LPE CVE-2021-41379
A detecção possui traduções para as seguintes plataformas SIEM & XDR: Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness e Apache Kafka ksqlDB.
A regra está alinhada com a última framework MITRE ATT&CK v.10 abordando a tática de Escalada de Privilégio e a técnica de Exploração para Escalada de Privilégio (T1068).
Possível atividade de Exploração InstallerFileTakeOver [CVE-2021-41379] (via evento de arquivo)
A detecção possui traduções para as seguintes plataformas SIEM & XDR: Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB e Securonix.
A regra está alinhada com a última framework MITRE ATT&CK v.10 abordando a tática de Evasão de Defesa. Mais especificamente, a detecção aborda a técnica de Modificação de Permissões de Arquivo e Diretório (T1222) com sua sub-técnica Modificação de Permissões de Arquivo e Diretório: Modificação de Permissões de Arquivo e Diretório do Windows (T1222.001).
Cadastre-se gratuitamente na plataforma Detection as Code do SOC Prime e leve suas operações de descoberta e caça de ameaças para o próximo nível. Cace instantaneamente as ameaças mais recentes dentro de mais de 20 tecnologias SIEM e XDR suportadas, aumente a conscientização sobre todos os ataques mais recentes no contexto de vulnerabilidades exploradas e da matriz MITRE ATT&CK, e otimize suas operações de segurança. Ansioso para tornar o mundo um lugar mais seguro? Junte-se ao nosso programa Threat Bounty, compartilhe suas regras Sigma e Yara via o repositório Threat Detection Marketplace e receba recompensas recorrentes por sua contribuição individual! Consulte nosso guia para iniciantes para aprender o que são regras Sigma e como criá-las.
