Esta vulnerabilidad (CVE-2021-24084) no cuenta con un parche o solución  oficial, lo que lo convierte en un 0day, sin embargo, un tercero implementó un parche como medida temporal. La vulnerabilidad fue originalmente un problema de divulgación de información emitido por Zero-Day Project (ZDI)  en octubre de 2020. Se descubrió que el CVE-2021-24084 también se puede usar para realizar una escalación de privilegios de manera local, brindando a un usuario no privilegiado obtener permisos de administrador.

Detalles de errores de Windows 10

El servicio primero copia algunos archivos de registro en la carpeta C: \ ProgramData \ Microsoft \ MDMDiagnostics, y posteriormente los empaqueta en un archivo .CAB, y los copia temporalmente en la carpeta C: \ Windows \ Temp.

El archivo .CAB generado se almacena en la carpeta C: \ Users \ Public \ PublicDocuments \ MDMDiagnostics, donde los usuarios pueden acceder a él libremente.

El investigador Abdelhamid N. se dio a la tarea de crear una prueba de concepto la cual permita la detección.

Github prueba de concepto:POC.ps1

O

Codigo:

New-Item -ItemType Junction -Path “$env:windir\Temp\DeviceHash_$env:computername.csv” -Target

Para utilizar la escalación de privilegios, se deben cumplir las siguientes condiciones:

La protección del sistema debe estar activada en la unidad C y debe crearse un punto de restauración. La activación o desactivación de la protección del sistema de forma predeterminada depende de varios parámetros. Y, Al menos una cuenta de administrador local debe estar habilitada en la computadora, o al menos las credenciales de los miembros del grupo de administradores deben almacenarse en caché.

versiones vulnerables de Windows:

• Windows 10 v21H1 (32 y 64 bits.
• Windows 10 v20H2 (32 y 64 bits).
• Windows 10 v2004 (32 y 64 bits).
• Windows 10 v1909 (32 y 64 bits).
• Windows 10 v1903 (32 y 64 bits).
• Windows 10 v1809 (32 y 64 bits).