Según un
análisis
realizado por el investigador de seguridad Michael Baer del SEC Consult
Vulnerability Lab, una vulnerabilidad Zero-Day (CVE-2024-38014) parcheada este mes y que afecta a los instaladores MSI de Microsoft Windows
está siendo explotada activamente.
Esta vulnerabilidad crítica, que permite escalar privilegios a SYSTEM, está
vinculado a las funciones de reparación de los instaladores de MSI y ha sido
explotado activamente antes del parche reciente de septiembre.
Los archivos MSI (Microsoft Installer) se utilizan ampliamente para instalar,
actualizar y reparar software en sistemas Windows. Si bien la instalación y
eliminación generalmente requieren permisos elevados, las funciones de
reparación de MSI pueden ser ejecutadas por usuarios con pocos privilegios. El
problema surge porque estas funciones de reparación se realizan en el contexto
de NT AUTHORITY\SYSTEM, lo que le da a la operación uno de los niveles más
altos de acceso en Windows.
La investigación de Baer destaca cómo los atacantes pueden aprovechar estas
funciones de reparación de MSI para obtener privilegios elevados. Aprovechando
las ventanas de comando abiertas brevemente durante la ejecución del programa
de los instaladores MSI, los atacantes pueden escalar sus derechos, obteniendo
el control total de la máquina afectada.
Si bien muchos intentos de explotación anteriores requirieron que los
atacantes ralentizaran el sistema para mantener las ventanas elevadas abiertas
el tiempo suficiente para la explotación, el equipo de Baer ha ideado una
técnica más confiable. El nuevo método implica pausar completamente la
ejecución del programa durante el proceso de reparación de MSI. Al hacer esto,
los atacantes pueden manipular de forma segura la ventana de comandos que
aparece, lo que facilita mucho el escalamiento de privilegios.
El ataque requiere acceso a la GUI y depende de condiciones específicas para
tener éxito. En particular, ciertos navegadores como Firefox y Chrome son
clave para ejecutar el exploit, ya que las versiones más nuevas de Edge
o Internet Explorer no permiten que el ataque continúe. Una vez que se ejecuta
el exploit, el atacante obtiene privilegios completos, lo que le permite tomar
el control total de la máquina.
Para ayudar a los administradores y profesionales de la seguridad a
identificar posibles vulnerabilidades en los instaladores de MSI, el equipo de
Baer ha lanzado una herramienta analizadora de código abierto llamada
«msiscan». Esta herramienta escanea automáticamente los archivos MSI en busca de
configuraciones inseguras y posibles vías de escalamiento de privilegios.
Msiscan proporciona una forma eficaz de detectar instaladores vulnerables,
centrándose especialmente en archivos MSI que invocan acciones personalizadas
con privilegios elevados. La herramienta realiza un análisis estático, examina
los comandos ejecutados por el instalador e identifica comportamientos
riesgosos, como la apertura de una ventana de terminal o el uso de scripts
inseguros.
Después de ser contactado por SEC Consult,
Microsoft emitió un parche para CVE-2024-38014 como parte de sus
actualizaciones de septiembre de 2024.
Este parche introduce un mensaje de Control de cuentas de usuario (UAC) cuando
se ejecuta una función de reparación de MSI con privilegios elevados, lo que
ayuda a bloquear el acceso no autorizado. Si se rechaza la solicitud de UAC,
el proceso de reparación se cancela, lo que mitiga el riesgo de escalamiento
de privilegios.
Sin embargo, el parche de Microsoft no es la única medida que las
organizaciones deberían considerar. Para los proveedores de software, Baer
recomienda utilizar prácticas de codificación segura al desarrollar
instaladores MSI. Las acciones personalizadas, particularmente aquellas que
involucran aplicaciones de consola, deben invocarse sin ventanas visibles,
evitando que los atacantes interactúen con procesos elevados.
Los administradores deben aplicar el parche lo antes posible y considerar
deshabilitar la función de reparación en instaladores MSI vulnerables hasta
que el software esté completamente parcheado.
Además, deshabilitar el uso de ciertos instaladores a través de claves de
registro e implementar prácticas de seguridad sólidas puede ayudar a mitigar
los riesgos que plantea esta vulnerabilidad.
Fuente:
SecurityOnline