CVE-2021-41379 ist eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen, die Microsoft Anfang dieses Monats behoben hat. Jedoch, Es stellt sich heraus, dass es noch einen anderen gibt, „leistungsstärkere“ Variante, entdeckt von Sicherheitsforscher Abdelhamid Naceri. Er stieß auf einen Windows Installer EoP-Fehler gepatcht von Microsoft vor einigen Wochen im November 2021 Patchday.
Die Geschichte hinter CVE-2021-41379 Elevation of Privilege Bug
Naceri hat den offiziellen Patch analysiert und eine Umgehung gefunden, neben einem noch gefährlicheren Problem mit der Eskalation von Zero-Day-Privilegien. Ein Proof-of-Concept-Code-Exploit-Code, genannt InstallerFileTakeOver, ist auch auf GitHub verfügbar. Die Sicherheitsanfälligkeit kann gegen alle derzeit unterstützten Windows-Betriebssystemversionen ausgenutzt werden, Ermöglichung der Übernahme von Windows durch Bedrohungsakteure 10, Fenster 11 und Windows Server. Die einzige notwendige Bedingung ist die Anmeldung auf einem Windows-Computer, auf dem der Edge-Browser installiert ist.
Wie Cisco Talos in einer separaten Analyse des Geschehens betonte, „Der von Microsoft veröffentlichte Patch reichte nicht aus, um die Schwachstelle zu beheben“, und Naceri veröffentlichten im November einen Proof-of-Concept-Exploit-Code auf GitHub. 22 das funktioniert trotz der von Microsoft implementierten Fixes.“
Der InstallerFileTakeOver PoC-Exploit nutzt die willkürliche Zugriffskontrollliste (angehen) für Microsoft Edge Elevation Service, um jede ausführbare Datei auf dem System durch eine MSI-Datei zu ersetzen, Dadurch können Bedrohungsakteure Code als Administrator ausführen.
CVE-2021-41379 erhielt zunächst einen mittleren Schweregrad, aber die Veröffentlichung des voll funktionsfähigen Proof-of-Concept fügt der Schwachstelle eine weitere Bedrohungsstufe hinzu. Zur Zeit, Es ist kein Fix von Microsoft verfügbar.
In 2020, eine weitere Microsoft-Sicherheitslücke stach in der Bug-Crowd heraus, als das Unternehmen konnte es nicht adressieren 2 Jahre.
Die Sicherheitslücke CVE-2020-1464 war Teil der 120 Sicherheitslücken, die im Patch Tuesday des letzten Jahres im August behoben wurden. Der Fehler wurde mindestens zwei Jahre lang aktiv in böswilligen Angriffen ausgebreitet, bevor Microsoft ihn behoben hat. Das Problem war ein Spoofing-Fehler, der durch die falsche Art und Weise ausgelöst wurde, wie Windows Dateisignaturen validiert. Im Falle eines erfolgreichen Angriffs, Der Angreifer kann Sicherheitsfunktionen umgehen und nicht ordnungsgemäß signierte Dateien laden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: