Ny nolldagarssårbarhet i Windows Installer påverkar alla versioner av Microsofts operativsystem
I korthet: Datorsäkerhetsgruppen Cisco Talos har hittat en ny sårbarhet som påverkar alla Windows-versioner hittills, inklusive Windows 11 och Server 2022. Sårbarheten finns i Windows Installer och tillåter hackare att höja sina privilegier för att bli administratör.
Upptäckten av denna sårbarhet ledde till att Cisco Talos-gruppen uppdaterade sina Snort-regler, som består av regler för att upptäcka attacker som riktar sig mot en lista med sårbarheter. Den uppdaterade listan med regler inkluderar nolldagars höjning av behörighetssårbarheten, såväl som nya och modifierade regler för nya hot från bland annat webbläsare, operativsystem och nätverksprotokoll.
Genom att utnyttja denna sårbarhet kan hackare med begränsad användaråtkomst höja sina privilegier och agera som administratör för systemet. Säkerhetsföretaget har redan hittat prover på skadlig programvara på Internet, så det finns en god chans att någon redan blivit offer för det.
Sårbarheten hade tidigare rapporterats till Microsoft av Abdelhamid Naceri, en säkerhetsforskare på Microsoft, och ska ha korrigerats med korrigeringen CVE-2021-41379 den 9 november. Patchen verkade dock inte räcka till för att åtgärda problemet, eftersom problemet kvarstår, vilket leder till att Naceri publicerar proof-of-concept på GitHub.
Enkelt uttryckt visar proof-of-concept hur en hackare kan ersätta valfri körbar fil på systemet med en MSI-fil med hjälp av den diskretionära åtkomstkontrolllistan (DACL) för Microsoft Edge Elevation Service.
Microsoft bedömde sårbarheten som "medelsvår" med en bas-CVSS (Common Vulnerability Scoring System)-poäng på 5,5 och en tidspoäng på 4,8. Nu när en funktionell proof-of-concept exploateringskod är tillgänglig, kan andra försöka missbruka den ytterligare, eventuellt öka dessa poäng. För tillfället har Microsoft ännu inte utfärdat en ny uppdatering för att mildra sårbarheten.
Naceri verkar ha försökt lappa binären själv, men utan framgång. Tills Microsoft har åtgärdat sårbarheten rekommenderar Cisco Talos-gruppen de som använder en säker brandvägg från Cisco att uppdatera sina regler med Snort-reglerna 58635 och 58636 för att skydda användarna från utnyttjandet.