Inuti en cyberlegosoldatoperation: Hackningsoffer runt om i världen Titta nu
Hackare har redan skapat skadlig programvara i ett försök att utnyttja en sårbarhet för ökad behörighet i Microsofts Windows Installer.
Microsoft släppte en patch för CVE-2021-41379, en behörighetsförhöjning i Windows Installer-komponenten för företag applikationsdistribution. Den hade ett “viktigt” betyg och ett allvarlighetsvärde på bara 5,5 av 10.
Det utnyttjades inte aktivt vid den tiden, men det är det nu, enligt Ciscos Talos malware-forskare. Och Cisco rapporterar att buggen kan utnyttjas även på system med November-patchen för att ge en angripare administratörsrättigheter.
SE: Vanliga frågor om Windows 11: Vår uppgraderingsguide och allt annat du behöver veta
Detta strider dock mot Microsofts bedömning att en angripare bara skulle kunna ta bort riktade filer på ett system och inte skulle få privilegier att se eller ändra filinnehåll.
“Denna sårbarhet tillåter en angripare med ett begränsat användarkonto att höja sina privilegier till bli administratör”, förklarar Jaeson Schultz på Cisco Talos.
“Denna sårbarhet påverkar alla versioner av Microsoft Windows, inklusive helt patchade Windows 11 och Server 2022. Talos har redan upptäckt skadlig programvara i naturen som försöker dra fördel av denna sårbarhet.”
Abdelhamid Naceri, forskaren som rapporterade CVE-2021-41379 till Microsoft, testade patchade system och publicerade den 22 november proof-of-concept exploateringskod på GitHub, som visar att det fungerar trots Microsofts fixar. Det fungerar också på serverversioner av drabbade Windows, inklusive Windows Server 2022.
“Koden som Naceri släppte utnyttjar den diskretionära åtkomstkontrolllistan (DACL) för Microsoft Edge Elevation Service för att ersätta alla körbara filer på systemet med en MSI-fil, som tillåter en angripare att köra kod som administratör”, skriver Ciscos Shultz.
SE: Dark web-skurkar undervisar nu i kurser om hur man bygger botnät.
Han tillägger att denna “funktionella proof-of-concept exploateringskod säkerligen kommer att leda till ytterligare missbruk av denna sårbarhet.”
Naceri säger att det inte finns någon lösning för det här felet förutom en annan patch från Microsoft.
“På grund av den här sårbarhetens komplexitet kommer alla försök att korrigera binärfilen direkt att bryta Windows Installer. Så det är bäst att du väntar och ser hur/om Microsoft kommer att skruva upp patchen igen,” sa Naceri . Microsoft har ännu inte erkänt Naceris nya proof of concept och har ännu inte sagt om det kommer att utfärda en patch för det.
Säkerhet
Windows 10 är en säkerhetskatastrof som väntar på att hända. Hur kommer Microsoft att städa upp sin röra? Denna skadliga programvara kan hota miljontals routrar och IoT-enheter Costco-kunder klagar över bedrägliga avgifter, företaget bekräftar kortskumningsattack Exchange Server-bugg: Patch omedelbart, varnar Microsoft Genomsnittlig ransomware-betalning för amerikanska offer för mer än 6 miljoner dollar Microsoft Patch tisdag: 55 buggar klämda, två under aktiv exploatering Security TV | Datahantering | CXO | Datacenter