Inde i en cyberlejesoldatsoperation: Hacking-ofre over hele verden Se nu
Hackere har allerede oprettet malware i et forsøg på at udnytte en udvidelse af privilegie-sårbarheden i Microsofts Windows Installer.
Microsoft har frigivet en patch til CVE-2021-41379, en udvidelse af privilegiefejl i Windows Installer-komponenten til virksomheder applikationsimplementering. Den havde en “vigtig” vurdering og en sværhedsgrad på kun 5,5 ud af 10.
Det blev ikke aktivt udnyttet på det tidspunkt, men det er det nu, ifølge Ciscos Talos malware-forskere. Og Cisco rapporterer, at fejlen kan udnyttes selv på systemer med november-patchen for at give en angriber administratorrettigheder.
SE: Windows 11 ofte stillede spørgsmål: Vores opgraderingsguide og alt andet, du behøver at vide
Dette er dog i modstrid med Microsofts vurdering af, at en angriber kun ville være i stand til at slette målrettede filer på et system og ikke ville opnå rettigheder til at se eller ændre filindhold.
“Denne sårbarhed giver en angriber med en begrænset brugerkonto mulighed for at ophøje deres rettigheder til at blive administrator,” forklarer Jaeson Schultz hos Cisco Talos.
“Denne sårbarhed påvirker alle versioner af Microsoft Windows, inklusive fuldt patchede Windows 11 og Server 2022. Talos har allerede opdaget malwareprøver i naturen, der forsøger at drage fordel af denne sårbarhed.”
Abdelhamid Naceri, forskeren, der rapporterede CVE-2021-41379 til Microsoft, testede patchede systemer og offentliggjorde den 22. november proof-of-concept udnyttelseskode på GitHub, som viser, at det virker på trods af Microsofts rettelser. Det virker også på serverversioner af berørte Windows, inklusive Windows Server 2022.
“Koden Naceri udgav udnytter den diskretionære adgangskontrolliste (DACL) til Microsoft Edge Elevation Service til at erstatte enhver eksekverbar fil på systemet med en MSI-fil, der tillader en angriber at køre kode som administrator,” skriver Ciscos Shultz.
SE: Dark web-skurke underviser nu i kurser i, hvordan man bygger botnets.
Han tilføjer, at denne “funktionelle proof-of-concept udnyttelseskode helt sikkert vil føre til yderligere misbrug af denne sårbarhed.”
Naceri siger, at der ikke er nogen løsning til denne fejl ud over en anden patch fra Microsoft.
“På grund af kompleksiteten af denne sårbarhed vil ethvert forsøg på at patche binærfilen direkte ødelægge Windows Installer. Så du må hellere vente og se, hvordan/om Microsoft vil skrue patchen op igen,” sagde Naceri . Microsoft har endnu ikke anerkendt Naceris nye proof of concept og har endnu ikke sagt, om det vil udstede en patch til det.
Sikkerhed
Windows 10 er en sikkerhedskatastrofe, der venter på at ske. Hvordan vil Microsoft rydde op i sit rod? Denne malware kan true millioner af routere og IoT-enheder Costco-kunder klager over svigagtige afgifter, firma bekræfter kortskimmingangreb Exchange Server-fejl: Patch øjeblikkeligt, advarer Microsoft Gennemsnitlig ransomware-betaling for amerikanske ofre for mere end $6 millioner Microsoft Patch tirsdag: 55 fejl knust, to under aktiv udnyttelse Security TV | Datastyring | CXO | Datacentre