Hackers exploram bug do Microsoft Windows Installer mesmo com patch lançado em novembro

Pesquisadores da Cisco identificaram que hackers conseguem explorar bug do Windows Installer da Microsoft mesmo em sistemas com patch lançado em novembro pela Microsoft. A falha pode ser explorada para dar a um invasor direitos de administrador em um sistema comprometido, de acordo com publicação do site ZDNet.

A Microsoft lançou um patch para a falha de elevação de privilégio no componente Windows Installer para implantação de aplicativo empresarial (CVE-2021-41379) em novembro. O bug teve uma classificação “importante” e uma pontuação de gravidade de apenas 5,5 em 10.

No entanto, de acordo com pesquisadores de malware do Talos, grupo de inteligência da Cisco, a falha não estava sendo explorada ativamente quando foi descoberta, mas está agora.

Ao contrário do que diz a Microsoft, a Cisco relata que o bug pode ser explorado até mesmo em sistemas com o patch. A Microsoft havia dito que um invasor só seria capaz de excluir arquivos direcionados em um sistema e não obteria privilégios para visualizar ou modificar o conteúdo dos arquivos, diz o ZDNet.

Porém, Jaeson Schultz, do Cisco Talos, diz que “essa vulnerabilidade permite que um invasor com uma conta de usuário limitada eleve seus privilégios para se tornar um administrador”. “Esta vulnerabilidade afeta todas as versões do Microsoft Windows, incluindo o Windows 11 e o Server 2022 totalmente corrigidos. O Talos já detectou amostras de malware à solta que estão tentando tirar proveito dessa vulnerabilidade”, diz Schultz.

De acordo com a publicação, Abdelhamid Naceri, pesquisador que relatou o CVE-2021-41379 para a Microsoft, testou sistemas corrigidos e em 22 de novembro publicou um código de exploração de prova de conceito no GitHub, que mostra que funciona apesar das correções da Microsoft. Ele também funciona em versões de servidor do Windows afetado, incluindo o Windows Server 2022, diz o site.

“O código que a Naceri lançou aproveita a lista de controle de acesso discricionário (DACL) para o Microsoft Edge Elevation Service para substituir qualquer arquivo executável no sistema por um arquivo MSI, permitindo que um invasor execute o código como administrador”, escreve Shultz, da Cisco.

Ele acrescenta que esse “código de exploração de prova de conceito funcional certamente conduzirá a abusos adicionais dessa vulnerabilidade”.

Naceri diz que não há solução alternativa para esse bug além de outro patch da Microsoft. No entanto, a Microsoft ainda não reconheceu a nova prova de conceito de Naceri e ainda não disse se vai lançar um patch para ele, destaca a publicação.

Com informações de ZDNet