CVE-2021-41379 é uma vulnerabilidade de elevação de privilégio que a Microsoft corrigiu no início deste mês. Contudo, Acontece que há outro, Variante “mais poderosa”, descoberto pelo pesquisador de segurança Abdelhamid Naceri. Ele encontrou uma falha do Windows Installer EoP patcheado pela Microsoft várias semanas atrás, como parte de novembro 2021 patch Tuesday.
A história por trás do CVE-2021-41379 Bug de elevação de privilégio
Naceri analisou o patch oficial e encontrou um desvio, ao lado de um problema de escalonamento de privilégios de dia zero ainda mais perigoso. Um código de exploração de código de prova de conceito, apelidado de InstallerFileTakeOver, também está disponível no GitHub. A vulnerabilidade pode ser explorada contra todas as versões do sistema operacional Windows atualmente suportadas, permitindo que os agentes de ameaças assumam o controle do Windows 10, janelas 11 e Windows Server. A única condição necessária é estar conectado a uma máquina Windows que tenha o navegador Edge instalado.
Conforme apontado pelo Cisco Talos em uma análise separada do acontecimento, “O patch lançado pela Microsoft não foi suficiente para remediar a vulnerabilidade, e Naceri publicou código de exploração de prova de conceito no GitHub em novembro. 22 que funciona apesar das correções implementadas pela Microsoft. ”
O exploit InstallerFileTakeOver PoC potencializa a lista de controle de acesso discricionário (DACL) para o Microsoft Edge Elevation Service substituir qualquer arquivo executável no sistema por um arquivo MSI, permitindo, assim, que os agentes de ameaças executem códigos como um administrador.
CVE-2021-41379 recebeu inicialmente um status de gravidade média, mas o lançamento da prova de conceito totalmente funcional adiciona outro nível de ameaça à vulnerabilidade. atualmente, não há correção disponível da Microsoft.
No 2020, outra vulnerabilidade da Microsoft se destacou na multidão de insetos, como a empresa falhou em resolver isso para 2 anos.
A vulnerabilidade CVE-2020-1464 fazia parte do 120 falhas de segurança abordadas na Patch Tuesday de agosto do ano passado. O bug foi ativamente exposto em ataques maliciosos por pelo menos dois anos antes que a Microsoft o corrigisse. O problema era uma falha de falsificação desencadeada pela maneira incorreta como o Windows valida assinaturas de arquivo. No caso de uma exploração bem-sucedida, o invasor pode ignorar recursos de segurança e carregar arquivos assinados incorretamente.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: