Nova vulnerabilidade de dia zero no Windows Installer afeta todas as versões do sistema operacional da Microsoft
Resumindo: O grupo de segurança de computadores Cisco Talos encontrou uma nova vulnerabilidade que afeta todas as versões do Windows até o momento, incluindo Windows 11 e Server 2022. A vulnerabilidade existe no Windows Installer e permite que hackers elevem seus privilégios para se tornarem administradores.
A descoberta dessa vulnerabilidade levou o grupo Cisco Talos a atualizar suas regras do Snort, que consiste em regras para detectar ataques direcionados a uma lista de vulnerabilidades. A lista atualizada de regras inclui a vulnerabilidade de elevação de privilégio de dia zero, bem como regras novas e modificadas para ameaças emergentes de navegadores, sistemas operacionais e protocolos de rede, entre outros.
A exploração dessa vulnerabilidade permite que hackers com acesso limitado de usuários elevem seus privilégios, agindo como administradores do sistema. A empresa de segurança já encontrou amostras de malware na Internet, então há uma boa chance de alguém já ter sido vítima disso.
A vulnerabilidade havia sido relatada anteriormente à Microsoft por Abdelhamid Naceri, pesquisador de segurança da Microsoft, e supostamente foi corrigida com a correção CVE-2021-41379 em 9 de novembro. à medida que o problema persiste, levando Naceri a publicar a prova de conceito no GitHub.
Em termos simples, a prova de conceito mostra como um hacker pode substituir qualquer arquivo executável no sistema por um arquivo MSI usando a lista de controle de acesso discricionário (DACL) para o Microsoft Edge Elevation Service.
A Microsoft classificou a vulnerabilidade como "gravidade média", com uma pontuação básica de CVSS (sistema de pontuação de vulnerabilidade comum) de 5,5 e uma pontuação temporal de 4,8. Agora que um código de exploração de prova de conceito funcional está disponível, outros podem tentar abusar ainda mais dele, possivelmente aumentando essas pontuações. No momento, a Microsoft ainda não emitiu uma nova atualização para mitigar a vulnerabilidade.
Naceri parece ter tentado corrigir o próprio binário, mas sem sucesso. Até que a Microsoft corrija a vulnerabilidade, o grupo Cisco Talos recomenda que aqueles que usam um firewall seguro da Cisco atualizem seu conjunto de regras com as regras Snort 58635 e 58636 para manter os usuários protegidos contra a exploração.