Исследователь безопасности Абдельхамид Насери обнаружил уязвимость нулевого дня в Microsoft Windows Installer. Она позволяет локально повысить уровень привилегий с уровня пользователя до максимально возможного уровня SYSTEM.

По словам Насери, этот эксплойт работает во всех поддерживаемых версиях Windows, включая полностью пропатченные инсталляции Windows 11 и Windows Server 2022. Прежде чем опубликовать информацию об уязвимости на GitHub, исследователь первоначально сообщил о ней Microsoft, и они совместно проанализировали уязвимость.

Microsoft уже выпустила обновление CVE-2021-41379 для устранения уязвимости нулевого дня, оно вышло в ноябрьский вторник обновлений. Но, по-видимому, компания не смогла полностью решить проблему. Затем Насери сделал публикацию на GitHub, чтобы предоставить доказательства использования уязвимости, которая работает даже после исправлений Microsoft.

Выявленный Насери эксплойт использует список управления дискреционным доступом (DACL) для Microsoft Edge Elevation Service. Это позволяет злоумышленнику заменить любой исполняемый файл в системе файлом MSI и запустить код от имени администратора. BleepingComputer протестировал описанный эксплойт и смог открыть командную строку с разрешениями SYSTEM из учётной записи с низкими привилегиями Standard.

Компания по кибербезопасности Cisco Talos заявила, что она уже обнаружила в интернете экземпляры вредоносного ПО, которые пытаются использовать эту уязвимость. По словам руководителя отдела по связям с общественностью Cisco Talos Ника Биазини, эти попытки использования, похоже, направлены на тестирование и настройку эксплойтов в качестве подготовки к крупномасштабным атакам.

Как заявляет Насери, нужно дождаться, когда Microsoft выпустит полное  исправление безопасности. Он добавил, что его работа по попыткам обхода патча Microsoft CVE-2021-41379 привела к тому, что он обнаружил два возможных эксплойта. Он раскрыл сведения об одном из них. Второй также запускает уникальное поведение в Windows Installer Service и позволяет использовать такую ​​же технику повышения привилегий. Насери отметил, что будет ждать, пока Microsoft полностью исправит уязвимость CVE-2021-41379, прежде чем раскрыть второй метод эксплойта.

Microsoft заявляет, что работает над исправлением уязвимости. Отмечается, что для её эксплуатации злоумышленник должен иметь доступ к целевой системе жертвы, а также иметь возможность запускать код. Сама компания классифицировала эту уязвимость как среднюю степень серьезности – с базовой оценкой CVSS 5,5.

Источник: tomshardware