Um pesquisador de segurança encontrou uma falha de dia-zero em uma atualização emergencial de segurança das versões do sistema operacional Windows 10, 11 e Server 2022. A brecha anterior permitia que os instaladores fossem usados para transmitir malware (o BazarLoader), e dar ao infiltrado privilégios de administrador do computador. A Microsoft alegou ter corrigido uma semana atrás, porém, parece que não corrigiu tão bem assim.

Intitulada CVE-2021-41379, a “Vulnerabilidade de Elevação de Privilégio do Windows Installer”, podia ser usada por cibercriminosos em golpes que utilizam programas maliciosos para tomar controle total dos alvos. Dessa maneira, poderiam roubar dados, excluir contas ou, ainda, conseguir acesso lateral a outras máquinas na rede.

publicidade

Abdelhamid Naceri, o pesquisador que encontrou a falha, esbarrou com a brecha após examinar melhor o patch fornecido pela Microsoft para corrigir o problema. Ele então demonstrou uma prova de conceito no GitHub de um programa que poderia ignorar facilmente as novas medidas oferecidas pela atualização de segurança.

“Essa variante foi descoberta durante a análise do patch CVE-2021-41379. O bug não foi corrigido corretamente, entretanto, mantendo a brecha”, explica Naceri no documento. “Eu decidi mosrar essa variante já que ela é mais poderosa do que o original”.

Falha dia-zero foi motivada por… má remuneração

O pesquisador explica que resolveu expôr a falha de dia-zero após a correção de segurança do Windows por pura frustração financeira. Isso porque a Microsoft tem remunerado cada vez pior as descobertas de falhas aos hackers white-hats — o que talvez até faça parecer que o crime compensa.

“As recompensas da Microsoft estão cada vez piores desde Abril de 2020, e eu realmente não faria isso se a MSFT não tomasse a decisão de diminuir estas recompensas”, lamenta Naceri ao BleepingComputer.

Um representante da Microsoft respondeu que a empresa “está ciente da revelação” e que irá fazer o necessário para manter os clientes seguros e protegidos. “Um atacante usando os métodos descritos já deve ter acesso e a habilidade de rodar código na máquina de uma vítima”, comenta.

Por fim, Abdelhamid Naceri esclarece que o melhor é esperar um patch de segurança automático do Windows, já que baixar o arquivo manualmente pode quebrar o próprio Windows Installer. “Então, é melhor você esperar e ver como a Microsoft vai estragar o patch outra vez”, finaliza.

Imagem: mundissima/shutterstock

Leia mais:

Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!