CVE-2021-41379 è una vulnerabilità relativa all'elevazione dei privilegi che Microsoft ha risolto all'inizio di questo mese. Tuttavia, si scopre che ce n'è un altro, variante “più potente”, scoperto dal ricercatore di sicurezza Abdelhamid Naceri. Si è imbattuto in un difetto EoP di Windows Installer patchato da Microsoft diverse settimane fa come parte di novembre 2021 Patch Martedì.
La storia dietro CVE-2021-41379 Bug di elevazione dei privilegi
Naceri ha analizzato la patch ufficiale e ha trovato un bypass, insieme a un problema di escalation dei privilegi zero-day ancora più pericoloso. Un codice di exploit del codice proof-of-concept, doppiato InstallerFileTakeOver, è disponibile anche su GitHub. La vulnerabilità può essere sfruttata contro tutte le versioni del sistema operativo Windows attualmente supportate, consentire agli attori delle minacce di assumere il controllo di Windows 10, Windows 11 e Windows Server. L'unica condizione necessaria è l'accesso a una macchina Windows su cui è installato il browser Edge.
Come sottolineato da Cisco Talos in un'analisi separata dell'accaduto, “la patch rilasciata da Microsoft non è stata sufficiente a rimediare alla vulnerabilità, e Naceri hanno pubblicato il codice exploit proof-of-concept su GitHub a novembre. 22 che funziona nonostante le correzioni implementate da Microsoft."
L'exploit PoC InstallerFileTakeOver sfrutta l'elenco di controllo degli accessi discrezionale (affrontare) per Microsoft Edge Elevation Service per sostituire qualsiasi file eseguibile sul sistema con un file MSI, consentendo così agli attori delle minacce di eseguire il codice come amministratore.
A CVE-2021-41379 è stato inizialmente assegnato uno stato di gravità media, ma il rilascio del proof-of-concept completamente funzionante aggiunge un altro livello di minaccia alla vulnerabilità. Attualmente, non è disponibile alcuna correzione da Microsoft.
In 2020, un'altra vulnerabilità Microsoft si è distinta tra la folla di bug, come la società non è riuscito ad affrontarlo per 2 anni.
La vulnerabilità CVE-2020-1464 faceva parte del 120 falle di sicurezza risolte nel Patch Tuesday di agosto dello scorso anno. Il bug è stato attivamente esposto in attacchi dannosi per almeno due anni prima che Microsoft lo risolvesse. Il problema era un difetto di spoofing innescato dal modo errato in cui Windows convalida le firme dei file. In caso di riuscito exploit, l'autore dell'attacco potrebbe aggirare le funzioni di sicurezza e caricare file firmati in modo non corretto.