Inne i en cyber-leiesoldatoperasjon: Hacking-ofre over hele verden Se nå
Hackere har allerede skapt skadelig programvare i et forsøk på å utnytte en sårbarhet for rettighetsutvidelse i Microsofts Windows Installer.
Microsoft har gitt ut en oppdatering for CVE-2021-41379, en rettighetsutvidelse i Windows Installer-komponenten for bedrifter applikasjonsdistribusjon. Den hadde en “viktig” vurdering og en alvorlighetsgrad på bare 5,5 av 10.
Det ble ikke aktivt utnyttet på den tiden, men det er det nå, ifølge Ciscos Talos malware-forskere. Og Cisco rapporterer at feilen kan utnyttes selv på systemer med novemberoppdateringen for å gi en angriper rettigheter på administratornivå.
SE: Vanlige spørsmål om Windows 11: Oppgraderingsguiden vår og alt annet du trenger å vite
Dette er imidlertid i strid med Microsofts vurdering av at en angriper bare vil kunne slette målrettede filer på et system og ikke vil få rettigheter til å se eller endre filinnhold.
“Dette sikkerhetsproblemet lar en angriper med en begrenset brukerkonto heve privilegiene sine til bli administrator,” forklarer Jaeson Schultz hos Cisco Talos.
“Dette sikkerhetsproblemet påvirker alle versjoner av Microsoft Windows, inkludert fullstendig oppdatering av Windows 11 og Server 2022. Talos har allerede oppdaget prøver av skadelig programvare i naturen som prøver å utnytte dette sikkerhetsproblemet.”
Abdelhamid Naceri, forskeren som rapporterte CVE-2021-41379 til Microsoft, testet lappede systemer og publiserte 22. november proof-of-concept utnyttelseskode på GitHub, som viser at den fungerer til tross for Microsofts reparasjoner. Den fungerer også på serverversjoner av berørte Windows, inkludert Windows Server 2022.
“Koden Naceri utgitt utnytter den diskresjonære tilgangskontrolllisten (DACL) for Microsoft Edge Elevation Service for å erstatte enhver kjørbar fil på systemet med en MSI-fil, som lar en angriper kjøre kode som administrator,” skriver Ciscos Shultz.
SE: Dark web crooks underviser nå i kurs i hvordan man bygger botnett.
Han legger til at denne “funksjonelle proof-of-concept-utnyttelseskoden vil sikkert føre til ytterligere misbruk av denne sårbarheten.”
Naceri sier at det ikke finnes noen løsning for denne feilen bortsett fra en annen oppdatering fra Microsoft.
“På grunn av kompleksiteten til dette sikkerhetsproblemet, vil ethvert forsøk på å lappe binærfilen direkte ødelegge Windows Installer. Så du bør vente og se hvordan/om Microsoft vil skru opp oppdateringen igjen,” sa Naceri . Microsoft har ennå ikke anerkjent Naceris nye proof of concept og har ennå ikke sagt om de vil utstede en patch for det.
Sikkerhet
Windows 10 er en sikkerhetskatastrofe som venter på å skje. Hvordan vil Microsoft rydde opp i rotet? Denne skadevaren kan true millioner av rutere og IoT-enheter Costco-kunder klager over uredelige avgifter, selskapet bekrefter kortskimmingangrep Exchange Server-feil: Oppdater umiddelbart, advarer Microsoft Gjennomsnittlig løsepengevarebetaling for amerikanske ofre mer enn $6 millioner Microsoft Patch tirsdag: 55 feil klemt, to under aktiv utnyttelse Security TV | Databehandling | CXO | Datasentre