CVE-2021-24084 is een onjuist gepatchte Windows-beveiligingskwetsbaarheid die kan leiden tot openbaarmaking van informatie en escalatie van lokale bevoegdheden. De fout bevindt zich in het onderdeel Windows Mobile Device Management, en kan ongeautoriseerde toegang tot het bestandssysteem verlenen en willekeurige bestanden lezen.
Nog een onjuist gepatchte Windows 10 kever: CVE-2021-24084
De kwetsbaarheid is ontdekt door onderzoeker Abdelhamid Naceri, die het in oktober aan Microsoft heeft gemeld 2020. Het bedrijf heeft de bug aangepakt in de februari 2021 Patch Tuesday.
Echter, Naceri opgemerkt in juni 2021 dat de door Microsoft uitgegeven patch kan worden omzeild. Later, hij ontdekte dat de kwetsbaarheid ook kan worden gebruikt om beheerdersrechten te verkrijgen om kwaadaardige code op Windows uit te voeren 10 machines, zelfs degenen die zijn uitgerust met de nieuwste beveiligingsupdates.
Ondanks de risico's die de kwetsbaarheid kan veroorzaken, het is opmerkelijk dat het kan worden uitgebuit als aan specifieke voorwaarden is voldaan. Een daarvan is dat de systeembeveiligingsfunctie is ingeschakeld op C:Rijden, en een andere vereist dat er een lokaal beheerdersaccount op de machine is ingesteld.
Dit is een lijst van de getroffen Windows 10 versies:
- Windows 10 v21H1 (32 & 64 bit) bijgewerkt met november 2021 Updates
- Windows 10 v20H2 (32 & 64 bit) bijgewerkt met november 2021 Updates
- Windows 10 v2004 (32 & 64 bit) bijgewerkt met november 2021 Updates
- Windows 10 v1909 (32 & 64 bit) bijgewerkt met november 2021 Updates
- Windows 10 v1903 (32 & 64 bit) bijgewerkt met november 2021 Updates
- Windows 10 v1809 (32 & 64 bit) bijgewerkt met mei 2021 Updates
Een soortgelijk geval met CVE-2021-41379
Iets soortgelijks gebeurde met een andere kwetsbaarheid, CVE-2021-41379. De bug is een beveiligingslek met betrekking tot misbruik van bevoegdheden dat Microsoft eerder in november heeft verholpen 2021. Echter, een "krachtigere" variant werd ontdekt door dezelfde beveiligingsonderzoeker, Abdelhamid Naceric. Hij ontdekte een Windows Installer EoP-fout die enkele weken geleden door Microsoft was gepatcht als onderdeel van november 2021 Patch Tuesday.
Naceri analyseerde de officiële patch en vond een bypass, naast een nog gevaarlijker zero-day privilege-escalatieprobleem. Een proof-of-concept code exploit code, nagesynchroniseerde InstallerFileTakeOver, is ook beschikbaar op GitHub. Het probleem kan worden gebruikt tegen alle momenteel ondersteunde Windows OS-versies, waardoor het voor dreigingsactoren mogelijk wordt om Windows over te nemen 10, Windows 11 en Windows Server. De enige noodzakelijke voorwaarde is ingelogd zijn op een Windows-computer waarop de Edge-browser is geïnstalleerd.
Verwante Story: Windows 10 gehackt 5 Tijden tijdens Tianfu Cup 2021