В Windows Installer обнаружилась уязвимость нулевого дня. Злоумышленники уже пытаются воспользоваться ею
Специалист по кибербезопасности Абдельхамид Насери нашел уязвимость нулевого дня. С ее помощью можно перейти на уровень привилегий с обычного юзера до предельно допустимого SYSTEM.
Данная ошибка присутствует в актуальных сборках ОС, в том числе в полноценно пропатченных Windows 11 и Windows Server 2022. Перед публикацией данных о своей находке Насери сообщил об ошибке непосредственно разработчикам операционной системы, в результате чего был проведен совместный анализ ошибки.
Для решения проблемы Microsoft стала распространять апдейт CVE-2021-41379 в ноябрьский вторник патчей, однако это не помогло. Тщетность стараний компании подтвердил Насери, поделившись свидетельствами применения уязвимости на GitHub после обновления.
Найденный зловредный фрагмент программного кода применяет таблицы избирательного управления доступом (DACL) для Microsoft Edge Elevation Service. Он дает возможность недобросовестным юзерам подменить какой угодно исполняемый файл файлом MSI, а после провести запуск кода от лица администратора. Портал BleepingComputer провел тест этого эксплойта, в результате чего была открыта командная строка с разрешениями SYSTEM из учетной записи с возможностями Standard.
Специализирующаяся на информационной безопасности фирма Cisco Talos дала комментарий, в котором говорится об обнаружении в сети файлов с вредоносным программным обеспечением, пытающегося задействовать данную ошибку. Глава отделения по связям с общественностью компании Ник Биазини сообщил, что уязвимость может использоваться для подготовки к более масштабным хакерским атакам.
По словам Насери, следует ждать полноценного патча от Microsoft, который поможет разобраться с проблемой. Также специалист говорит о том, что после обновления он искал пути возможного обхода и нашел два варианта, одним из комы и поделился. Второй способ инициирует схожий способ повышения привилегий посредством Windows Installer Service. О деталях этого способа Насери поведает, когда Microsoft выпустит-таки полностью устраняющий ошибку апдейт.
Представители Microsoft, в свою очередь, говорят, что компания вовсю трудится над исправлением ситуации. Также они отмечают, что для использования ошибки злоумышленникам необходимо обеспечить себе доступ к целевой системе жертвы с возможностью запуска кода. В классификации компании ошибка оценена как средняя с оценкой по стандарту CVSS в 5,5 балла.
Данная ошибка присутствует в актуальных сборках ОС, в том числе в полноценно пропатченных Windows 11 и Windows Server 2022. Перед публикацией данных о своей находке Насери сообщил об ошибке непосредственно разработчикам операционной системы, в результате чего был проведен совместный анализ ошибки.
Для решения проблемы Microsoft стала распространять апдейт CVE-2021-41379 в ноябрьский вторник патчей, однако это не помогло. Тщетность стараний компании подтвердил Насери, поделившись свидетельствами применения уязвимости на GitHub после обновления.
Найденный зловредный фрагмент программного кода применяет таблицы избирательного управления доступом (DACL) для Microsoft Edge Elevation Service. Он дает возможность недобросовестным юзерам подменить какой угодно исполняемый файл файлом MSI, а после провести запуск кода от лица администратора. Портал BleepingComputer провел тест этого эксплойта, в результате чего была открыта командная строка с разрешениями SYSTEM из учетной записи с возможностями Standard.
Специализирующаяся на информационной безопасности фирма Cisco Talos дала комментарий, в котором говорится об обнаружении в сети файлов с вредоносным программным обеспечением, пытающегося задействовать данную ошибку. Глава отделения по связям с общественностью компании Ник Биазини сообщил, что уязвимость может использоваться для подготовки к более масштабным хакерским атакам.
По словам Насери, следует ждать полноценного патча от Microsoft, который поможет разобраться с проблемой. Также специалист говорит о том, что после обновления он искал пути возможного обхода и нашел два варианта, одним из комы и поделился. Второй способ инициирует схожий способ повышения привилегий посредством Windows Installer Service. О деталях этого способа Насери поведает, когда Microsoft выпустит-таки полностью устраняющий ошибку апдейт.
Представители Microsoft, в свою очередь, говорят, что компания вовсю трудится над исправлением ситуации. Также они отмечают, что для использования ошибки злоумышленникам необходимо обеспечить себе доступ к целевой системе жертвы с возможностью запуска кода. В классификации компании ошибка оценена как средняя с оценкой по стандарту CVSS в 5,5 балла.
Войдите на сайт или зарегистрируйтесь чтобы оставлять комментарии
Комментариев 0