CVE-2021-41379: Vulnerabilidad día cero sin corregir en Windows 11, Windows 10 y Windows Server 2022

Especialistas en ciberseguridad reportan la publicación de un exploit para una vulnerabilidad día cero en sistemas Windows 10, Windows 11 y Windows Server. Descrita como una escalada de privilegios locales, la falla puede ser explotada para abrir el símbolo del sistema con privilegios SYSTEM desde una cuenta con privilegios mínimos.

La explotación exitosa de la vulnerabilidad permitiría a los actores de amenazas obtener altos privilegios en los sistemas afectados de forma relativamente fácil, lo que eventualmente les permitiría desplazarse a través de la red comprometida. Según el reporte, la falla reside en todas las versiones de los sistemas afectados.

Identificada como CVE-2021-41379, la falla fue abordada por Microsoft en su más reciente parche de seguridad después de que el investigador Abdelhamid Naceri presentara un reporte sobre este error. El mismo Naceri reportó posteriormente un método para evadir la corrección implementada por Microsoft, lo que lleva a un escenario de escalada de privilegios aún más peligroso.

Hace unos días, Naceri publicó una nueva versión de su exploit de prueba de concepto (PoC), mencionando que la vulnerabilidad no fue corregida correctamente, creando un nuevo riesgo de ataque: “He decidido revelar esta variante de PoC, ya que es más poderosa que el exploit original”.

El investigador también explica que, si bien es posible configurar políticas de grupo para restringir el acceso a operaciones de instalación MSI para los usuarios sin privilegios, el exploit puede evadir esta política y lograr el compromiso del sistema. Un grupo de expertos probó el exploit de Naceri, logrando el compromiso del sistema en cuestión de minutos.

Naceri argumenta que divulgó esta nueva versión del exploit después de la frustración generada por el programa de recompensas de Microsoft: “Las recompensas de Microsoft han sido muy malas desde abril de 2020; la comunidad no tomaría esta clase de decisiones si Microsoft se tomara en serio sus recompensas”. El investigador concluyó mencionando que, de haber podido ganar hasta $10,000 USD, recibió un pago de solo $1,000 USD.

Microsoft no se ha pronunciado sobre estos reportes, aunque la comunidad de la ciberseguridad prevé que la compañía lance los parches completos en sus próximas actualizaciones. Naceri también recomienda a los administradores no corregir esta falla parcheando el binario, pues esto podría romper el instalador.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).