Ny nulldagssårbarhet i Windows Installer påvirker alle versjoner av Microsofts OS
Kort fortalt: Datasikkerhetsgruppen Cisco Talos har funnet en ny sårbarhet som påvirker alle Windows-versjoner til dags dato, inkludert Windows 11 og Server 2022. Sårbarheten finnes i Windows Installer og lar hackere heve rettighetene sine til å bli administrator.
Oppdagelsen av dette sikkerhetsproblemet førte til at Cisco Talos-gruppen oppdaterte sine Snort-regler, som består av regler for å oppdage angrep rettet mot en liste over sårbarheter. Den oppdaterte listen over regler inkluderer null-dagers heving av rettighetssårbarhet, samt nye og modifiserte regler for nye trusler fra blant annet nettlesere, operativsystemer og nettverksprotokoller.
Ved å utnytte dette sikkerhetsproblemet kan hackere med begrenset brukertilgang heve privilegiene sine, og fungere som administrator av systemet. Sikkerhetsfirmaet har allerede funnet skadevareprøver på Internett, så det er en god sjanse for at noen allerede har blitt offer for det.
Sårbarheten hadde tidligere blitt rapportert til Microsoft av Abdelhamid Naceri, en sikkerhetsforsker hos Microsoft, og ble angivelig lappet med reparasjonen CVE-2021-41379 9. november. Patchen så imidlertid ikke ut til å være nok til å fikse problemet, ettersom problemet vedvarer, fører Naceri til å publisere proof-of-concept på GitHub.
Enkelt sagt viser proof-of-concept hvordan en hacker kan erstatte en hvilken som helst kjørbar fil på systemet med en MSI-fil ved å bruke den diskresjonære tilgangskontrolllisten (DACL) for Microsoft Edge Elevation Service.
Microsoft vurderte sårbarheten som "middels alvorlig", med en grunnleggende CVSS (Common Vulnerability scoring system)-score på 5,5 og en tidsmessig poengsum på 4,8. Nå som en funksjonell proof-of-concept utnyttelseskode er tilgjengelig, kan andre prøve å misbruke den ytterligere, og muligens øke disse poengsummene. For øyeblikket har Microsoft ennå ikke utgitt en ny oppdatering for å redusere sårbarheten.
Naceri ser ut til å ha prøvd å lappe binæren selv, men uten hell. Inntil Microsoft retter opp sikkerhetsproblemet, anbefaler Cisco Talos-gruppen de som bruker en sikker brannmur fra Cisco, å oppdatere reglene sine med Snort-reglene 58635 og 58636 for å holde brukerne beskyttet mot utnyttelsen.