CVE-2021-41379 er en sårbarhed med udvidelse af privilegier, som Microsoft rettede tidligere på måneden. Men, det viser sig, at der er en anden, "stærkere" variant, opdaget af sikkerhedsforsker Abdelhamid Naceri. Han stødte på en Windows Installer EoP-fejl patchet af Microsoft flere uger siden som en del af november 2021 Patch tirsdag.
Historien bag CVE-2021-41379 Elevation of Privilege Bug
Naceri analyserede den officielle patch og fandt en bypass, sideløbende med et endnu farligere nul-dages privilegieeskaleringsproblem. En proof-of-concept kodeudnyttelseskode, døbt InstallerFileTakeOver, er også tilgængelig på GitHub. Sårbarheden kan udnyttes mod alle aktuelt understøttede Windows OS-versioner, gør det muligt for trusselsaktører at overtage Windows 10, Vinduer 11 og Windows Server. Den eneste nødvendige betingelse er at blive logget på en Windows-maskine, der har Edge-browseren installeret.
Som påpeget af Cisco Talos i en separat analyse af hændelsen, "patchen frigivet af Microsoft var ikke tilstrækkelig til at afhjælpe sårbarheden, og Naceri offentliggjorde proof-of-concept udnyttelseskode på GitHub den nov. 22 der virker på trods af rettelserne implementeret af Microsoft."
InstallerFileTakeOver PoC udnytter den skønsmæssige adgangskontrolliste (tackle) for Microsoft Edge Elevation Service til at erstatte enhver eksekverbar fil på systemet med en MSI-fil, dermed gør det muligt for trusselsaktører at køre kode som administrator.
CVE-2021-41379 fik oprindeligt en middelsvær status, men udgivelsen af det fuldt funktionelle proof-of-concept tilføjer endnu et trusselsniveau til sårbarheden. I øjeblikket, der er ingen rettelse tilgængelig fra Microsoft.
I 2020, en anden Microsoft-sårbarhed skilte sig ud i mængden af fejl, som virksomheden undlod at tage fat på det 2 år.
CVE-2020-1464 sårbarhed var en del af 120 sikkerhedsfejl, der blev rettet i sidste års august-patch tirsdag. Fejlen blev aktivt brugt i ondsindede angreb i mindst to år, før Microsoft fiksede den. Problemet var en spoofing-fejl udløst af den forkerte måde, Windows validerer filsignaturer på. I tilfælde af en vellykket udnytte, angriberen kunne omgå sikkerhedsfunktioner og indlæse forkert signerede filer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: