Binnen een cyberhuurling-operatie: slachtoffers over de hele wereld hacken Nu bekijken
Hackers hebben al malware gemaakt in een poging misbruik te maken van een beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows Installer van Microsoft.
Microsoft heeft een patch uitgebracht voor CVE-2021-41379, een misbruik van bevoegdheden in de Windows Installer-component voor ondernemingen applicatie implementatie. Het had een 'belangrijke' beoordeling en een ernstscore van slechts 5,5 op 10.
Het werd destijds niet actief uitgebuit, maar volgens Cisco's Talos-malwareonderzoekers is dat nu wel het geval. En Cisco meldt dat de bug zelfs op systemen met de november-patch kan worden misbruikt om een aanvaller beheerdersrechten te geven.
ZIE: Veelgestelde vragen over Windows 11: onze upgradehandleiding en al het andere dat u moet weten
Dit is echter in tegenspraak met die van Microsoft beoordeling dat een aanvaller alleen gerichte bestanden op een systeem zou kunnen verwijderen en geen rechten zou krijgen om de inhoud van bestanden te bekijken of te wijzigen.
“Dit beveiligingslek stelt een aanvaller met een beperkt gebruikersaccount in staat om hun rechten te verhogen tot beheerder worden”, legt Jaeson Schultz van Cisco Talos uit.
“Deze kwetsbaarheid treft elke versie van Microsoft Windows, inclusief volledig gepatchte Windows 11 en Server 2022. Talos heeft al malware-samples in het wild gedetecteerd die proberen misbruik te maken van deze kwetsbaarheid.”
Abdelhamid Naceri, de onderzoeker die CVE-2021-41379 aan Microsoft rapporteerde, testte gepatchte systemen en publiceerde op 22 november proof-of-concept exploit-code op GitHub, waaruit blijkt dat het werkt ondanks de fixes van Microsoft. Het werkt ook op serverversies van getroffen Windows, waaronder Windows Server 2022.
“De code die Naceri heeft vrijgegeven, maakt gebruik van de discretionary access control list (DACL) voor Microsoft Edge Elevation Service om elk uitvoerbaar bestand op het systeem te vervangen door een MSI-bestand, waardoor een aanvaller code kan uitvoeren als beheerder”, schrijft Cisco's Shultz.
ZIE: Dark web-boeven geven nu cursussen over het bouwen van botnets
Hij voegt eraan toe dat deze “functionele proof-of-concept exploitcode zeker zal leiden tot extra misbruik van deze kwetsbaarheid.”
Naceri zegt dat er geen andere oplossing voor deze bug is dan een andere patch van Microsoft.
“Vanwege de complexiteit van dit beveiligingslek, zal elke poging om het binaire bestand rechtstreeks te patchen, Windows Installer breken. Dus je kunt maar beter afwachten en zien hoe/of Microsoft de patch opnieuw zal verknoeien,” zei Naceri . Microsoft moet Naceri's nieuwe proof of concept nog erkennen en heeft nog niet gezegd of het er een patch voor zal uitbrengen.
Beveiliging
Windows 10 is een beveiligingsramp die staat te gebeuren. Hoe gaat Microsoft zijn rommel opruimen? Deze malware zou miljoenen routers en IoT-apparaten kunnen bedreigen Costco-klanten klagen over frauduleuze kosten, bedrijf bevestigt kaart skimming-aanval Exchange Server-bug: patch onmiddellijk, waarschuwt Microsoft Gemiddelde ransomware-betaling voor Amerikaanse slachtoffers meer dan $ 6 miljoen Microsoft Patch dinsdag: 55 bugs geplet, twee onder actief exploit Security TV | Gegevensbeheer | CXO | Datacenters