Vulnerabilidad de elevación de privilegios en el instalador de Windows

ANÁLISIS

Esta vulnerabilidad permite a los atacantes locales escalar privilegios en las instalaciones afectadas de Microsoft Windows. Un atacante debe obtener primero la capacidad de ejecutar código sin privilegios de administración en el sistema objetivo para poder explotar esta vulnerabilidad.

El fallo específico existe en el servicio de Windows Installer. Mediante la creación de un acceso directo de tipo "junction" [2], un atacante puede abusar del servicio para eliminar un archivo o directorio. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de SYSTEM. Aunque es posible configurar las políticas de grupo para impedir que los usuarios "estándar" realicen operaciones de instalación de MSI, este zero-day se salta esta política y funcionará de todos modos [3].

La vulnerabilidad afecta a todas las versiones soportadas de Windows, incluyendo Windows 10, Windows 11 y Windows Server 2022 [4].

RECOMENDACIONES

Por el momento no hay soluciones ni remedios para esta vulnerabilidad. La recomendación es esperar a que Microsoft publique un parche de seguridad. 

REFERENCIAS
[1] New Windows zero-day with public exploit lets you become an admin (bleepingcomputer.com) 
[2] What is a Junction? (computerhope.com) 
[3] ZDI-21-1308 | Zero Day Initiative
[3] CVE-2021-41379 - Security Update Guide - Microsoft - Windows Installer Elevation of Privilege Vulnerability