CVE-2021-41379 is een beveiligingslek met betrekking tot misbruik van bevoegdheden dat Microsoft eerder deze maand heeft verholpen. Echter, het blijkt dat er een andere is, "krachtigere" variant, ontdekt door beveiligingsonderzoeker Abdelhamid Naceri. Hij kwam een Windows Installer EoP-fout tegen gepatcht door Microsoft enkele weken geleden als onderdeel van november 2021 Patch Tuesday.
Het verhaal achter CVE-2021-41379 Verhoging van privilege-bug
Naceri analyseerde de officiële patch en vond een bypass, naast een nog gevaarlijker zero-day privilege-escalatieprobleem. Een proof-of-concept code exploit code, nagesynchroniseerde InstallerFileTakeOver, is ook beschikbaar op GitHub. Het beveiligingslek kan worden misbruikt tegen alle momenteel ondersteunde Windows OS-versies, bedreigingsactoren in staat stellen Windows over te nemen 10, Windows 11 en Windows Server. De enige noodzakelijke voorwaarde is ingelogd zijn op een Windows-computer waarop de Edge-browser is geïnstalleerd.
Zoals opgemerkt door Cisco Talos in een afzonderlijke analyse van de gebeurtenis, “de patch uitgebracht door Microsoft was niet voldoende om de kwetsbaarheid te verhelpen, en Naceri publiceerden proof-of-concept exploit-code op GitHub op november. 22 dat werkt ondanks de oplossingen die door Microsoft zijn geïmplementeerd.”
De InstallerFileTakeOver PoC-exploit maakt gebruik van de discretionaire toegangscontrolelijst (aanpakken) voor Microsoft Edge Elevation Service om elk uitvoerbaar bestand op het systeem te vervangen door een MSI-bestand, waardoor bedreigingsactoren code kunnen uitvoeren als beheerder.
CVE-2021-41379 kreeg aanvankelijk een middelzware status, maar de release van de volledig functionele proof-of-concept voegt een ander dreigingsniveau toe aan de kwetsbaarheid. Momenteel, er is geen fix beschikbaar van Microsoft.
In 2020, een andere Microsoft-kwetsbaarheid viel op in de bug-menigte, als het bedrijf niet in geslaagd om het aan te pakken voor 2 jaar.
CVE-2020-1464 kwetsbaarheid was onderdeel van de 120 beveiligingsfouten verholpen in Patch Tuesday van vorig jaar in augustus. De bug werd ten minste twee jaar actief gebruikt in kwaadaardige aanvallen voordat Microsoft hem repareerde. Het probleem was een spoofingfout veroorzaakt door de onjuiste manier waarop Windows bestandshandtekeningen valideert. In geval van een succesvolle exploit, de aanvaller kan beveiligingsfuncties omzeilen en onjuist ondertekende bestanden laden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: