Эксперт по безопасности обнаружил серьезную проблему в Windows Installer, а затем выяснил, что выпущенный к ней патч не исправляет дело. Его экспериментальным эксплойтом уже пытаются воспользоваться для реальных атак.
Киберзлоумышленники тестируют свежую уязвимость в Windows Installer — CVE-2021-41379. Microsoft попыталась исправить ее в начале ноября 2021 г., однако патч не оправдал возложенных на него надежд. Экспериментальный эксплойт, появившийся в минувшие выходные, уже пытаются использовать в практических целях.
Уязвимость позволяет повышать привилегии в системе вплоть до максимального уровня. Эксперт по безопасности Абдельхамид Насери (Abdelhamid Naceri), который обнаружил ее первым, сообщил о ней в Microsoft. После выпуска патча, однако, Насери установил, что проблему он полностью не решает.
22 ноября Насери опубликовал экспериментальный эксплойт к недоисправленной уязвимости. Код Насери эксплуатирует список избирательного управления доступом (DACL) в Microsoft Edge Elevation Service и позволяет заменить любой исполняемый файл в системе файлом MSI, обеспечивая злоумышленнику возможность запускать код в качестве администратора, и даже с привилегиями System.
Эксплойт Насери работает во всех версиях Windows, включая Windows 11 и Windows Server 2022. По словам самого исследователя, единственное, что сейчас можно сделать, это дождаться, когда Microsoft выпустит необходимое обновление. Сам Насери описывает уязвимость как «сложную».
Эксперты CiscoTalos отметили, что в Сети уже попадаются сэмплы вредоносов, пытающихся эксплуатировать данную уязвимость и использовать код Насери в практических атаках.
Пока таких атак немного. По мнению экспертов Talos, хакеры тестируют и меняют эксплойт для дальнейшего использования в более широких масштабах.
В корпорации Microsoft заявили, что условием использования эксплойта Насери является наличие у потенциального хакера доступа к целевой системе и возможность запускать на ней код. Это несколько снижает степень угрозы.
«Общеизвестно, что киберкриминал очень пристально отслеживает любые новые уязвимости и информацию о них, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Считанные дни, а иногда и часы проходят с момента появления экспериментальных эксплойтов и практических попыток ими воспользоваться в целях нанесения кому-либо ущерба. В данном случае раскрытие уязвимости кажется преждевременным, с другой стороны, не сделай этого сам Насери, уязвимость бы обнаружил кто-то другой. Остается надеяться, что Microsoft не будет затягивать с исправлением проблемы».
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.