Según un análisis realizado por el investigador de seguridad Michael Baer del SEC Consult Vulnerability Lab, una vulnerabilidad Zero-Day (CVE-2024-38014) parcheada este mes y que afecta a los instaladores MSI de Microsoft Windows está siendo explotada activamente.
Esta vulnerabilidad crítica, que permite escalar privilegios a SYSTEM, está vinculado a las funciones de reparación de los instaladores de MSI y ha sido explotado activamente antes del parche reciente de septiembre.
Los archivos MSI (Microsoft Installer) se utilizan ampliamente para instalar, actualizar y reparar software en sistemas Windows. Si bien la instalación y eliminación generalmente requieren permisos elevados, las funciones de reparación de MSI pueden ser ejecutadas por usuarios con pocos privilegios. El problema surge porque estas funciones de reparación se realizan en el contexto de NT AUTHORITY\SYSTEM, lo que le da a la operación uno de los niveles más altos de acceso en Windows.
La investigación de Baer destaca cómo los atacantes pueden aprovechar estas funciones de reparación de MSI para obtener privilegios elevados. Aprovechando las ventanas de comando abiertas brevemente durante la ejecución del programa de los instaladores MSI, los atacantes pueden escalar sus derechos, obteniendo el control total de la máquina afectada.
Si bien muchos intentos de explotación anteriores requirieron que los atacantes ralentizaran el sistema para mantener las ventanas elevadas abiertas el tiempo suficiente para la explotación, el equipo de Baer ha ideado una técnica más confiable. El nuevo método implica pausar completamente la ejecución del programa durante el proceso de reparación de MSI. Al hacer esto, los atacantes pueden manipular de forma segura la ventana de comandos que aparece, lo que facilita mucho el escalamiento de privilegios.
El ataque requiere acceso a la GUI y depende de condiciones específicas para tener éxito. En particular, ciertos navegadores como Firefox y Chrome son clave para ejecutar el exploit, ya que las versiones más nuevas de Edge o Internet Explorer no permiten que el ataque continúe. Una vez que se ejecuta el exploit, el atacante obtiene privilegios completos, lo que le permite tomar el control total de la máquina.
Para ayudar a los administradores y profesionales de la seguridad a identificar posibles vulnerabilidades en los instaladores de MSI, el equipo de Baer ha lanzado una herramienta analizadora de código abierto llamada "msiscan". Esta herramienta escanea automáticamente los archivos MSI en busca de configuraciones inseguras y posibles vías de escalamiento de privilegios.
Msiscan proporciona una forma eficaz de detectar instaladores vulnerables, centrándose especialmente en archivos MSI que invocan acciones personalizadas con privilegios elevados. La herramienta realiza un análisis estático, examina los comandos ejecutados por el instalador e identifica comportamientos riesgosos, como la apertura de una ventana de terminal o el uso de scripts inseguros.
Después de ser contactado por SEC Consult, Microsoft emitió un parche para CVE-2024-38014 como parte de sus actualizaciones de septiembre de 2024. Este parche introduce un mensaje de Control de cuentas de usuario (UAC) cuando se ejecuta una función de reparación de MSI con privilegios elevados, lo que ayuda a bloquear el acceso no autorizado. Si se rechaza la solicitud de UAC, el proceso de reparación se cancela, lo que mitiga el riesgo de escalamiento de privilegios.
Sin embargo, el parche de Microsoft no es la única medida que las organizaciones deberían considerar. Para los proveedores de software, Baer recomienda utilizar prácticas de codificación segura al desarrollar instaladores MSI. Las acciones personalizadas, particularmente aquellas que involucran aplicaciones de consola, deben invocarse sin ventanas visibles, evitando que los atacantes interactúen con procesos elevados.
Los administradores deben aplicar el parche lo antes posible y considerar deshabilitar la función de reparación en instaladores MSI vulnerables hasta que el software esté completamente parcheado. Además, deshabilitar el uso de ciertos instaladores a través de claves de registro e implementar prácticas de seguridad sólidas puede ayudar a mitigar los riesgos que plantea esta vulnerabilidad.
Fuente: SecurityOnline