Fecha de publicación: Jue, 22/07/2021 - 17:23

 

Las vulnerabilidades reportadas el 20 de julio identificadas como CVE-2021-36934 (apodada SERIOUS SAM) y CVE-2021-33909 (apodada como Sequoia), demostraron ser explotables en varios sitios de la red, por lo cual se sugiere tomar las precauciones pertinentes para no ser víctimas de un ataque.

Descripción

"En Windows existe una vulnerabilidad de elevación de privilegios debido a que las listas de control de acceso (ACL) son excesivamente permisivas en varios archivos del sistema, incluida la base de datos del Administrador de Cuentas de Seguridad (SAM)", señalaron los responsables de Windows. "Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SYSTEM. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario.

Productos afectados

Windows

  • Windows Server, version 20H2 (Server Core Installation)
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows Server, version 2004 (Server Core installation)
  • Windows 10 Version 2004 for x64-based Systems
  • Windows 10 Version 2004 for ARM64-based Systems
  • Windows 10 Version 2004 for 32-bit Systems
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems

Los archivos de configuración del sistema son los siguientes:

  • C:\Windows\System32\config\sam
  • C:\Windows\System32\config\system
  • C:\Windows\System32\config\security

Linux

Todas las versiones del kernel de Linux desde el 2014.

  • Ubuntu 20.04
  • Ubuntu 20.10
  • Ubuntu 21.04
  • Debian 11
  • Fedora 34 Workstation
  • Red hat Enterprise Linux versions 6,7 y 8.

Mitigación

Windows

Microsoft ha reconocido el fallo y publicó una mitigación en forma de comando que elimina ese permiso que deber ser ejecutado como administrador:

Restringir el permiso de acceso a %windir%\system32\config

Command Prompt (Ejecutar como administrador):

  • icacls %windir%\system32\config\*.* /inheritance:e

Windows PowerShell (Ejecutar como administrador):

  • icacls $env:windir\system32\config\*.* /inheritance:e

Eliminar copias sombra VSS

  1. Elimine los puntos de restauración del sistema y los volúmenes de sombra que existían antes de restringir el acceso a %windir%\system32\config.
  2. Cree un nuevo punto de restauración del sistema (si lo desea).

Impacto de la solución alternativa.- Eliminar las copias sombra de VSS podría afectar las operaciones de restauración, incluida la capacidad de restaurar datos con aplicaciones de respaldo de terceros. Para obtener más información sobre cómo eliminar copias sombra de VSS.

Nota.- Debe restringir el acceso y eliminar copias sombra para evitar la explotación de esta vulnerabilidad.

Linux

Nota importante: las siguientes mitigaciones previenen solo algunas formas de explotación de la vulnerabilidad (pero pueden existir otras técnicas de explotación); para corregir completamente la vulnerabilidad el kernel debe ser parcheado.

  • Establezca /proc/sys/kernel/unprivileged_userns_clone en 0, para prevenir que un atacante pueda vulnerar el sistema desde un directorio largo en un espacio de nombres de usuario. Sin embargo, el atacante puede vulnerar el sistema desde un directorio largo a través de FUSE en su lugar; no se tiene investigaciones completas respecto a esta posibilidad, porque accidentalmente se dió con la vulnerabilidad CVE-2021-33910 en systemd: si un atacante FUSE vulnera un directorio largo (más de 8 MB), systemd agota su pila, se bloquea y por lo tanto, bloquea todo el sistema operativo (un pánico del kernel).
  • Establezca /proc/sys/kernel/unprivileged_bpf_disabled en 1, para evitar que un atacante cargue un programa eBPF en el kernel. sin embargo, el atacante puede corromper otros objetos vmalloc()ated en su lugar (por ejemplo, pilas de subprocesos), pero no se investigó todavía esta posibilidad.

Pruebas de concepto

Windows

El usuario Benjamin Delpy (conocido en twiiter como @gentilkiwi) en una conversación publicada en su cuenta de twitter, demostró como puede ser explotable la vulnerabilidad CVE-2021-36934.

Kevin Beaumont ha creado un exploit que crea una copia de la SAM, accesible para cualquier usuario que haya iniciado sesión. 

Linux

Qualys la empresa que descubrió la falla también lanzó pruebas de concepto en su blog oficial.

Identificadores CVE

CVE-2021-36934: Es una vulnerabilidad de elevación de privilegios debido a las listas de control de acceso (ACL) excesivamente permisivas en varios archivos del sistema, incluida la base de datos del administrador de cuentas de seguridad (SAM). Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de sistema. Entonces, un atacante podría instalar programas, ver, cambiar, o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario.

CVE-2021-33909: Qualys Research Labs descubrió una vulnerabilidad de conversión size_t-to-int en la capa del sistema de archivos del kernel de Linux. Un atacante local sin privilegios podría ser capaz de crear, montar y luego eliminar una estructura de directorio profunda cuya longitud total de ruta exceda 1GB, puede aprovechar esta falla para escalar privilegios.

CVE-2021-33910: El uso de la función "alloca" en conjunto con un tamaño no controlado en la función "unit_name_path_escape" permite que un atacante local, capaz de montar un sistema de archivos en una ruta muy larga, bloquee systemd y todo el sistema al asignar un espacio muy grande en la pila. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema.

 

Referencias

https://thehackernews.com/2021/07/new-windows-and-linux-flaws-give.html

https://lists.debian.org/debian-lts-announce/2021/07/msg00014.html

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36934