Vulnerabilidades críticas encontradas en Microsoft Defender para IoT

Una investigación reciente reveló información detallada sobre un par de vulnerabilidades críticas de ejecución remota de código descubiertas en Microsoft Defender para IoT. Esta semana se lanzó un informe de seguridad de SentinelOne. Diseñado con capacidades continuas de detección y respuesta de red (NDR), Defender para IoT es compatible con varios dispositivos de IoT, OT […]

Una investigación reciente reveló información detallada sobre un par de vulnerabilidades críticas de ejecución remota de código descubiertas en Microsoft Defender para IoT.

Esta semana se lanzó un informe de seguridad de SentinelOne.

Diseñado con capacidades continuas de detección y respuesta de red (NDR), Defender para IoT es compatible con varios dispositivos de IoT, OT y sistema de control industrial (ICS), y se puede implementar tanto en las instalaciones como en la nube.

Rastreados como CVE-2021-42311 y CVE-2021-42313, los dos errores críticos tienen una puntuación CVSS de 10, y Microsoft los abordó con sus actualizaciones Patch Tuesday de diciembre de 2021.

Ambas son vulnerabilidades de inyección SQL, que un atacante remoto podría explotar sin autenticación para lograr la ejecución de código arbitrario.

Identificado en el proceso de validación del token, CVE-2021-42313 existe porque el parámetro UUID no está desinfectado, explica SentinelLabs.

Los investigadores dicen que la vulnerabilidad les permitió “insertar, actualizar y ejecutar comandos especiales de SQL”. Se les ocurrió un código de prueba de concepto (PoC) que explota el error para extraer un ID de sesión de usuario registrado de la base de datos, lo que lleva a la toma de posesión completa de la cuenta.

También relacionado con el proceso de validación de tokens, aunque realizado por una función diferente, CVE-2021-42311 existe porque un token de API utilizado para la verificación se comparte entre las instalaciones de Defender para IoT.

SentinelLabs informó las vulnerabilidades críticas a Microsoft en junio de 2021 junto con otros tres problemas: dos fallas de alta gravedad en Microsoft Defender para IoT (CVE-2021-42312 y CVE-2021-42310) y una vulnerabilidad en el proyecto de código abierto RCDCAP (CVE -2021-37222).

CVE-2021-42310, explica SentinelLabs, está relacionado con el mecanismo de recuperación de contraseña de Azure Portal, que consiste en una API web de Python y una API web de Java, que es propensa a un tiempo de verificación-tiempo de uso (TOCTOU) vulnerabilidad.

El mecanismo utiliza un archivo ZIP de restablecimiento de contraseña firmado que el usuario debe cargar en la página de restablecimiento de contraseña. Sin embargo, debido al error de seguridad, fue posible usar el archivo ZIP firmado por un usuario diferente para crear un archivo ZIP que contuviera un JSON malicioso.

El ataque podría usarse para obtener la contraseña del usuario privilegiado cyberx (Microsoft adquirió CyberX en 2020 y construyó Defender para IoT en su producto), lo que podría resultar en la ejecución de código con privilegios de raíz.

Esto llevó a los investigadores a descubrir un problema de inyección de comando simple que afectaba el mecanismo de cambio de contraseña, que se abordó como parte de CVE-2021-42312.

“Si bien no tenemos evidencia de explotación en estado salvaje de estas vulnerabilidades, recomendamos además revocar cualquier credencial privilegiada implementada en la plataforma antes de que se parcheen las plataformas en la nube y revisar los registros de acceso en busca de irregularidades”, señala SentinelLabs.