据thehackernews恶意软件研究员 Abdelhamid Naceri 最近发现了一个Windows涉及零日漏洞Windows Installer 软件组件,利用这个漏洞,拥有部分权限的用户可以将权限提升到系统管理员。
思科 Talos 安全信息与研究小组技术负责人 Jaeson Schultz据说思科已经发现这个漏洞正在被黑客攻击,但它仍处于小规模攻击阶段,很可能是一项全面攻击的测试活动。
微软在2021年11月的星期二补丁日活动中发布了补丁,但似乎并没有完全解决。Naceri在某些情况下,攻击不仅可以绕过微软的补丁修复,还可以通过新发现的零日漏洞提高当地权限。
漏洞编号为CVE-2021-41379,上周日(11月21日)Naceri针对这一新漏洞进行了针对PoC测试声称适用于所有支持 Windows 版,包括Windows 10、Windows 11和Windows Server2022。
PoC测试被称为“ InstallerFileTakeOver ”,Naceri通过覆盖Microsoft Edge Elevation Service自由访问控制列表(DACL)来工作,用MSI任何可执行文件替换系统上的任何可执行文件时,攻击者都可以使用 SYSTEM 权限运行代码。
一旦攻击者赢得了管理员的权限,他可以使用该权限来完全控制感染系统,包括下载其他软件、修改、删除或导出设备中的所有敏感信息。
另一位安全研究员 Kevin Beaumont他在社交平台上发布了一条推文,称他在社交平台上Windows 10 20H2 和Windows 11测试后发现完全有效,证明微软之前发布的补丁没有完全修复漏洞。
值得注意的是Naceri还指出,CVE-2021-41379最近出现了变种,比较“原版更强大”,目前最好的办法就是等待Microsoft 针对这个问题发布安全补丁,彻底解决这个复杂的零日漏洞。
但微软目前还没有发布关于该漏洞的补丁公告。
参考来源:https://thehackernews.com/2021/11/warning-hackers-exploiting-new-windows.html