Consultivo

Tipo de vulnerabilidade

TAMPA DA CAVERNA

CVSSv3

Alvo

Sumário executivo

O CVE-2021-1732 é uma vulnerabilidade de dia zero de escalonamento de privilégios local, que é aproveitada por um APT em suas campanhas contínuas voltadas para a infraestrutura Windows. O invasor explora um bug de memória no kernel do Windows que leva à elevação de privilégios e à execução de código na máquina de destino.

Detalhes técnicos

O CVE-2021-1732 existe como resultado de um bug de corrupção de memória em um dos componentes (Win32K) no kernel do Windows; após a exploração, ele pode acionar o acesso fora dos limites. A exploração bem-sucedida do bug dará ao atacante a capacidade de obter o Token do Sistema que concede o maior privilégio a qualquer processo no ambiente Windows, levando a uma possível escalada de privilégios do usuário normal para o nível do kernel, equivalente a um usuário root no Linux. O agente mal-intencionado combina essa vulnerabilidade com o RCE para executar comandos no sistema com privilégios elevados.

Muito recentemente, surgiram relatos sobre um grupo de APT chamado Bitter APT que explorou esse bug em suas campanhas usando o código de exploração de 0 dias.

Plataformas afetadas

A tabela abaixo resume as plataformas Windows afetadas e as respectivas versões de compilação:

Plataforma Windows

Versão de construção

Impacto

• O privilégio no nível do sistema é o maior privilégio no sistema operacional Windows. Um processo com privilégio de sistema pode ter acesso de leitura/gravação para qualquer ativo no ambiente.
• Somente um atacante autenticado pode executar código arbitrário com privilégios elevados.
• As vulnerabilidades do lado do cliente podem ser combinadas com essa vulnerabilidade por meio de engenharia social, para comprometer a vítima.

Mitigação

O MSRC lançou patches em sua última versão do Patch Tuesday (09 de fevereiro de 2021):

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1732