Нова вразливість нульового дня в Windows Installer впливає на всі версії ОС Microsoft
Коротко: група комп'ютерної безпеки Cisco Talos знайшла нову вразливість, яка впливає на всі версії Windows на сьогоднішній день, включаючи Windows 11 і Server 2022. Ця вразливість існує в інсталяторі Windows і дозволяє хакерам підвищити свої привілеї, щоб стати адміністратором.
Виявлення цієї вразливості змусило групу Cisco Talos оновити свої правила Snort, які складаються з правил для виявлення атак, спрямованих на список уразливостей. Оновлений список правил включає в себе вразливість нульового дня підвищення привілеїв, а також нові та модифіковані правила для нових загроз із браузерів, операційних систем і мережевих протоколів, серед іншого.
Використання цієї вразливості дозволяє хакерам з обмеженим доступом користувачів підвищити свої привілеї, виконуючи функції адміністратора системи. Безпека вже знайшла зразки шкідливого програмного забезпечення в Інтернеті, тому є велика ймовірність, що хтось уже став його жертвою.
Про вразливість раніше повідомляв Microsoft Абдельхамід Насері, дослідник безпеки Microsoft, і нібито була виправлена виправленням CVE-2021-41379 9 листопада. Однак виправлення виявилося недостатнім для вирішення проблеми. оскільки проблема не зникає, Насері опублікував підтвердження концепції на GitHub.
Простіше кажучи, підтвердження концепції показує, як хакер може замінити будь-який виконуваний файл у системі файлом MSI, використовуючи список дискреційного контролю доступу (DACL) для Microsoft Edge Elevation Service.
Корпорація Майкрософт оцінила вразливість як «середнього ступеня тяжкості» з базовим балом CVSS (система оцінки загальної вразливості) 5,5 і тимчасовим балом 4,8. Тепер, коли доступний код функціонального підтвердження концепції, інші можуть спробувати зловживати ним, можливо, підвищивши ці показники. На даний момент Microsoft ще не випустила нове оновлення, щоб пом’якшити вразливість.
Насері, схоже, сам намагався виправити бінарний файл, але безуспішно. Поки Microsoft не виправить уразливість, група Cisco Talos рекомендує тим, хто використовує захищений брандмауер Cisco, оновити свої правила правилами Snort 58635 і 58636, щоб захистити користувачів від експлойту.