0
(0)

Existe una vulnerabilidad de día cero para Windows, llamada InstallerFileTakeOver, que Microsoft aún no ha abordado. La vulnerabilidad fue descubierta por Abdelhamid Naceri, un investigador de seguridad, que ya descubrió otras dos vulnerabilidades de día cero en Windows este año.

0 parche de vulnerabilidad

Ya mencionamos la vulnerabilidad a fines de noviembre de 2021 aquí en este sitio. El problema no se solucionó en ese momento y Microsoft aún no ha publicado una actualización de seguridad que solucione la vulnerabilidad.

La empresa de microparches 0Patch lanzó un parche gratuito para el problema esta semana que está disponible para todos los usuarios. El microparche que lanzó 0Patch está disponible para los siguientes sistemas operativos:

  • Windows 10 versión 1709 a 21H1.
  • Windows 7 ESU
  • Windows Server 2012, 2012 R2, 2016, 2019.
  • ESU de Windows Server 2008 R2

0Patch señala que las instalaciones de Windows 7 y Windows Server 2012 que no son de ESU no se ven afectadas por la vulnerabilidad. Es probable que Windows Server 2022 y Windows 11 también se vean afectados, pero aún no cuentan con el respaldo oficial de la compañía (por lo tanto, no hay parche). Windows 8.1 no se analizó debido al escaso interés en la versión particular de Windows.

La vulnerabilidad aprovecha los archivos de reversión que crea Windows Installer durante la instalación. Almacena archivos que se eliminan o modifican durante el proceso de instalación, para permitir reversiones. El archivo de reversión se crea en los directorios del sistema y luego se mueve a una carpeta temporal en el directorio del usuario.

Naceri descubrió que se puede colocar un enlace simbólico en la ubicación, de modo que el archivo RBF se mueva a otra ubicación. El enlace simbólico apunta a un archivo en el sistema que luego se hace accesible al usuario, siempre que el Sistema Local tenga acceso de escritura al mismo.

Dado que Windows Installer se ejecuta como sistema local, el usuario local puede sobrescribir cualquier archivo en el que se pueda escribir el sistema local.

El microparche que ha creado 0Patch comprueba si el destino de la operación de reversión del archivo contiene uniones o enlaces. La operación se bloquea si ese es el caso, o se permite de otra manera.

Los sistemas de parcheo con microparches 0Patch requieren una cuenta gratuita en 0Patch Central y la instalación y registro de 0Patch Agent de la empresa. El parche se aplica automáticamente, no es necesario reiniciar.

Aquí hay un video de demostración que 0Patch publicó en YouTube:

Aquí está el video de nuestro microparche en acción. Sin el microparche, el exploit funciona y se abre una ventana de línea de comandos como Sistema local; con el microparche, el código que corregimos en msi.dll determina que la ruta de destino contiene un enlace simbólico, aborta la operación de movimiento del archivo y desencadena un evento de «Exploit bloqueado».

Revisar la 0Patch blog para obtener detalles adicionales.

Ahora tú: ¿cómo manejas las vulnerabilidades sin parchear?

publicitario

¿Le ha parecido útil este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.