Microsoft Corrigiu uma Vulnerabilidade de Escalada de Privilégio de 12 Anos no Windows Defender
Índice:
Em fevereiro de 2021, a Microsoft corrigiu uma falha de elevação de privilégio no Microsoft Defender Antivirus (anteriormente Windows Defender) que pode fornecer aos atores de ameaça a capacidade de obter direitos de administrador no host vulnerável e desativar produtos de segurança pré-instalados. Especialistas da SentinelOne, que revelaram o problema, relatam que a falha foi introduzida em 2009 e permaneceu não divulgada por mais de 12 anos.
Descrição da Vulnerabilidade do Windows Defender
O problema (CVE-2021-24092) decorre de uma configuração incorreta relacionada ao driver BTR.sys, que trabalha para excluir recursos do sistema de arquivos e registros associados ao software malicioso na máquina comprometida. Como o driver não possui um link de verificação, os adversários podem produzir um malicioso para sobrescrever arquivos arbitrários. Consequentemente, o CVE-2021-24092 pode ser explorado por um hacker local sem privilégios em uma variedade de intrusões que não envolvem interação do usuário.
Os analistas de segurança presumem que a vulnerabilidade permaneceu não revelada por anos, uma vez que o driver normalmente não está presente no disco rígido, mas ativado apenas em caso de necessidade. Apesar da falha ter sido introduzida no Windows Defender há muito tempo, não há indicação de exploração em campo. Ainda assim, os pesquisadores acreditam que os adversários tentariam explorar essa falha de segurança contra os usuários não corrigidos após a divulgação pública.
CVE-2021-24092: Detecção e Mitigação
A SentinelOne relatou a vulnerabilidade ao Microsoft Security Response Center em novembro de 2020, e o fornecedor a corrigiu com o lançamento de 9 de fevereiro de 2021. A última versão do Microsoft Malware Protection Engine afetada por este bug é 1.1.17700.4. A primeira versão que tem esse problema corrigido é 1.1.17800.5. O patch foi introduzido com o lançamento da versão 1.1.17800.5 do Microsoft Malware Protection Engine, então você está protegido caso tenha esta versão (ou posterior) instalada.
Notavelmente, o patch para CVE-2021-24092 é instalado automaticamente para todos os hosts que suportam as versões afetadas do Windows Defender. Verifique se você tem as atualizações do Windows Defender habilitadas para prosseguir com a atualização automática. Alternativamente, você pode aplicar as correções manualmente para mitigação imediata.
Para identificar a atividade maliciosa associada ao CVE-2021-24092, você pode baixar uma regra Sigma dedicada da SOC Prime:
https://tdm.socprime.com/tdm/info/BHIyVCep9T3w/ikMPrHcBTwmKwLA9LQs8/
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Microsoft Defender ATP, Carbon Black, SentinelOne
MITRE ATT&CK:
Táticas: Escalação de Privilégio
Técnicas: Exploração para Escalação de Privilégio (T1068)
A menos que você não tenha acesso pago ao Threat Detection Marketplace, esta regra Sigma pode ser desbloqueada ativando seu teste gratuito em uma assinatura comunitária.
Fique atento ao nosso blog para acessar as detecções mais relevantes para as ameaças emergentes. Regras adicionais relacionadas ao CVE-2021-24092 seriam adicionadas a este artigo.
Inscreva-se no Threat Detection Marketplace, uma plataforma líder mundial de conteúdo como serviço (CaaS) que fornece algoritmos de detecção, enriquecimento, integração e automação para apoiar os profissionais de segurança enquanto traduzem big data, logs e telemetria de nuvem em sinais de cibersegurança. Você pode transmitir conteúdo SOC curado diretamente para as ferramentas SIEM, EDR, NSM, e SOAR de sua escolha, aumentando as capacidades de detecção de ameaças. Quer criar suas próprias regras Sigma e apoiar a comunidade global de caçadores de ameaças? Junte-se ao nosso Programa de Recompensas de Ameaças!
