Especialista publica exploit 0day para elevação de privilégio local no Windows

Um pesquisador de segurança divulgou publicamente uma exploração para uma nova vulnerabilidade de elevação de privilégio local 0day do Windows que pode ser explorada por agentes de ameaças para obter privilégios de administrador no Windows 10, Windows 11 e Windows Server. A vulnerabilidade pode ser explorada por agentes de ameaça para elevar seus privilégios de realizar várias atividades maliciosas, foi descoberto pelo pesquisador de segurança Abdelhamid Naceri, que publicou uma exploração de prova de conceito funcional para o 0day no  GitHub .

Pesquisadores do BleepingComputer testaram com sucesso o exploit “InstallerFileTakeOver” publicado pela Naceri.

Naceri descobriu a falha ao analisar um patch de segurança lançado pela Microsoft como parte do Patch Tuesday em novembro para outra vulnerabilidade de elevação de privilégio do Windows Installer, rastreada como  CVE-2021-41379 , que o pesquisador relatou à Microsoft.

O especialista também conseguiu contornar o patch lançado pela Microsoft.

“Esta variante foi descoberta durante a análise do patch CVE-2021-41379. o bug não foi corrigido corretamente, no entanto, em vez de descartar o bypass. Eu escolhi realmente descartar esta variante, pois é mais poderosa do que a original. ” escreveu o especialista. “Também me certifiquei de que a prova de conceito é extremamente confiável e não exige nada, por isso funciona em todas as tentativas. A prova de conceito sobrescreve a DACL do serviço de elevação do Microsoft Edge e se copia no local do serviço e a executa para obter privilégios elevados. Embora essa técnica possa não funcionar em todas as instalações, porque as instalações do Windows, como o servidor 2016 e 2019, podem não ter o serviço de elevação. Eu deixei deliberadamente o código que assume o arquivo aberto, então qualquer arquivo especificado no primeiro argumento será assumido com a condição de que a conta SYSTEM deve ter acesso a ele e o arquivo não deve estar em uso. Assim, você mesmo pode elevar seus privilégios. ”

Enquanto trabalhava no bypass do patch CVE-2021-41379, o especialista criou 2 pacotes MSI para acionar um comportamento único no serviço do instalador do Windows, um deles é o bypass CVE-2021-41379.

Naceri disse que divulgou publicamente o 0day por causa dos baixos pagamentos pagos pela Microsoft como parte de seu programa de recompensa por bug.

Fonte: https://securityaffairs.co/