Nowa luka dnia zerowego w Instalatorze Windows dotyczy wszystkich wersji systemu operacyjnego Microsoftu
W skrócie: grupa Cisco Talos zajmująca się bezpieczeństwem komputerów wykryła nową lukę, która dotyczy wszystkich dotychczasowych wersji systemu Windows, w tym Windows 11 i Server 2022. Luka występuje w Instalatorze Windows i umożliwia hakerom podniesienie uprawnień, aby zostać administratorem.
Odkrycie tej luki skłoniło grupę Cisco Talos do aktualizacji swoich reguł Snort, które składają się z reguł wykrywania ataków ukierunkowanych na listę luk w zabezpieczeniach. Zaktualizowana lista reguł obejmuje lukę zero-day umożliwiającą podniesienie uprawnień, a także nowe i zmodyfikowane reguły dotyczące pojawiających się zagrożeń, między innymi z przeglądarek, systemów operacyjnych i protokołów sieciowych.
Wykorzystanie tej luki pozwala hakerom z ograniczonym dostępem użytkownika na podniesienie swoich uprawnień, działając jako administrator systemu. Firma zajmująca się bezpieczeństwem znalazła już próbki złośliwego oprogramowania w Internecie, więc istnieje duża szansa, że ktoś już padł jego ofiarą.
Luka została wcześniej zgłoszona firmie Microsoft przez Abdelhamida Naceri, badacza bezpieczeństwa w firmie Microsoft, i rzekomo została załatana poprawką CVE-2021-41379 9 listopada. Jednak łatka nie wydawała się wystarczająca, aby naprawić problem, gdy problem będzie się powtarzał, skłoniło Naceri do opublikowania dowodu słuszności koncepcji na GitHub.
Mówiąc prościej, dowód słuszności koncepcji pokazuje, w jaki sposób haker może zastąpić dowolny plik wykonywalny w systemie plikiem MSI przy użyciu dyskrecjonalnej listy kontroli dostępu (DACL) dla usługi Microsoft Edge Elevation Service.
Microsoft ocenił lukę jako „średnią wagę" z bazowym wynikiem CVSS (Common Vulnerability scoring system) na poziomie 5,5 i oceną czasową na poziomie 4,8. Teraz, gdy dostępny jest funkcjonalny kod exploita będący dowodem na słuszność koncepcji, inni mogą próbować go dalej nadużywać, prawdopodobnie zwiększając te wyniki. W tej chwili Microsoft nie wydał jeszcze nowej aktualizacji, aby złagodzić lukę.
Wygląda na to, że Naceri sam próbował załatać plik binarny, ale bez powodzenia. Dopóki Microsoft nie załata luki w zabezpieczeniach, grupa Cisco Talos zaleca użytkownikom korzystającym z bezpiecznej zapory ogniowej Cisco zaktualizowanie zestawu reguł za pomocą reguł Snort 58635 i 58636, aby chronić użytkowników przed exploitem.