Windows Installeri uus nullpäeva haavatavus mõjutab kõiki Microsofti OS-i versioone
Lühidalt: Arvutiturbe rühmitus Cisco Talos on leidnud uue haavatavuse, mis mõjutab kõiki seniseid Windowsi versioone, sealhulgas Windows 11 ja Server 2022. See haavatavus on Windows Installeris ja võimaldab häkkeritel tõsta oma õigusi, et saada administraatoriks.
Selle haavatavuse avastamise tõttu värskendas Cisco Talos grupp oma Snorti reegleid, mis koosnevad reeglitest, mis tuvastavad haavatavuste loendile suunatud rünnakud. Uuendatud reeglite loend sisaldab muu hulgas privileegide haavatavuse nullpäevast tõstmist, aga ka uusi ja muudetud reegleid brauserite, operatsioonisüsteemide ja võrguprotokollide tekkivate ohtude jaoks.
Selle haavatavuse ärakasutamine võimaldab piiratud kasutajajuurdepääsuga häkkeritel oma õigusi tõsta, tegutsedes süsteemi administraatorina. Turvafirma on juba Internetist pahavara näidised leidnud, seega on suur tõenäosus, et keegi on selle ohvriks langenud.
Haavatavusest oli Microsofti turvauurija Abdelhamid Naceri varem Microsoftile teatanud ja väidetavalt parandati see 9. novembril parandusega CVE-2021-41379. Kuid paigast ei paistnud probleemi lahendamiseks piisavat. Kuna probleem püsib, avaldas Naceri GitHubis kontseptsiooni tõendi .
Lihtsamalt öeldes näitab kontseptsiooni tõestus, kuidas häkker saab asendada süsteemi mis tahes käivitatava faili MSI-failiga, kasutades Microsoft Edge Elevation Service'i valikulist juurdepääsukontrolli loendit (DACL).
Microsoft hindas haavatavust keskmise raskusastmega, mille CVSS-i (Common Vulnerability Scoring System) põhiskoor oli 5,5 ja ajaline hind 4,8. Nüüd, kui funktsionaalne kontseptsiooni tõendav kasutuskood on saadaval, võivad teised proovida seda veelgi kuritarvitada, suurendades neid skoori. Hetkel ei ole Microsoft veel haavatavuse leevendamiseks uut värskendust välja andnud.
Näib, et Naceri on püüdnud binaarfaili ise lappida, kuid edutult. Kuni Microsoft haavatavust parandab, soovitab Cisco Talose grupp neil, kes kasutavad Cisco turvalist tulemüüri, värskendada oma reegleid Snorti reeglitega 58635 ja 58636, et hoida kasutajad ärakasutamise eest kaitstuna.