Uusi nollapäivän haavoittuvuus Windows Installerissa vaikuttaa kaikkiin Microsoftin käyttöjärjestelmän versioihin
Lyhyesti: Tietoturvaryhmä Cisco Talos on löytänyt uuden haavoittuvuuden, joka vaikuttaa kaikkiin tähän mennessä oleviin Windows-versioihin, mukaan lukien Windows 11 ja Server 2022. Haavoittuvuus on Windows Installerissa ja antaa hakkereille mahdollisuuden nostaa oikeuksiaan järjestelmänvalvojaksi.
Tämän haavoittuvuuden havaitseminen sai Cisco Talos -ryhmän päivittämään Snort-sääntönsä, joka koostuu säännöistä, jotka havaitsevat haavoittuvuuksien luetteloon kohdistuvat hyökkäykset. Päivitetty sääntölista sisältää etuoikeushaavoittuvuuden nollapäivän korotuksen sekä uusia ja muokattuja sääntöjä muun muassa selaimista, käyttöjärjestelmistä ja verkkoprotokollista tuleville uusille uhille.
Tämän haavoittuvuuden hyödyntäminen antaa hakkereille, joilla on rajoitettu käyttöoikeus, korottaa oikeuksiaan toimien järjestelmän järjestelmänvalvojana. Turvayritys on jo löytänyt haittaohjelmanäytteitä Internetistä, joten on hyvä mahdollisuus, että joku on jo joutunut sen uhriksi.
Microsoftin tietoturvatutkija Abdelhamid Naceri oli aiemmin ilmoittanut haavoittuvuudesta Microsoftille, ja se oletettavasti korjattiin korjauksella CVE-2021-41379 9. marraskuuta. Korjaustiedosto ei kuitenkaan näyttänyt riittävän korjaamaan ongelmaa. Ongelman jatkuessa Naceri julkaisi konseptin todisteen GitHubissa.
Yksinkertaisesti sanottuna konseptin todiste osoittaa, kuinka hakkeri voi korvata minkä tahansa järjestelmässä olevan suoritettavan tiedoston MSI-tiedostolla käyttämällä Microsoft Edge Elevation Servicen harkinnanvaraista käyttöoikeusluetteloa (DACL).
Microsoft arvioi haavoittuvuuden "keskivakavaksi" CVSS:n (Common Vulnerability scoring system) peruspistemäärällä 5,5 ja ajallisesti 4,8. Nyt kun toimiva proof-of-konseptin hyväksikäyttökoodi on saatavilla, muut voivat yrittää käyttää sitä edelleen väärin ja mahdollisesti lisätä näitä pisteitä. Tällä hetkellä Microsoft ei ole vielä julkaissut uutta päivitystä haavoittuvuuden lieventämiseksi.
Naceri näyttää yrittäneen korjata binaaria itse, mutta tuloksetta. Kunnes Microsoft korjaa haavoittuvuuden, Cisco Talos -ryhmä suosittelee suojattua Ciscon palomuuria käyttäjiä päivittämään sääntönsä Snort-säännöillä 58635 ja 58636, jotta käyttäjät suojataan hyväksikäytöltä.