Microsoft не смогла исправить серьезную уязвимость Windows

Эксперт по безопасности обнаружил серьезную проблему в Windows Installer, а затем выяснил, что выпущенный к ней патч не исправляет дело. Его экспериментальным эксплойтом уже пытаются воспользоваться для реальных атак.

Подмена файлов

Киберзлоумышленники тестируют свежую уязвимость в Windows Installer — CVE-2021-41379. Microsoft попыталась исправить ее в начале ноября 2021 г., однако патч не оправдал возложенных на него надежд. Экспериментальный эксплойт, появившийся в минувшие выходные, уже пытаются использовать в практических целях.

Уязвимость позволяет повышать привилегии в системе вплоть до максимального уровня. Эксперт по безопасности Абдельхамид Насери (Abdelhamid Naceri), который обнаружил ее первым, сообщил о ней в Microsoft. После выпуска патча, однако, Насери установил, что проблему он полностью не решает.

22 ноября Насери опубликовал экспериментальный эксплойт к недоисправленной уязвимости. Код Насери эксплуатирует список избирательного управления доступом (DACL) в Microsoft Edge Elevation Service и позволяет заменить любой исполняемый файл в системе файлом MSI, обеспечивая злоумышленнику возможность запускать код в качестве администратора, и даже с привилегиями System.

Эксплойт Насери работает во всех версиях Windows, включая Windows 11 и Windows Server 2022. По словам самого исследователя, единственное, что сейчас можно сделать, это дождаться, когда Microsoft выпустит необходимое обновление. Сам Насери описывает уязвимость как «сложную».

Практическое использование

Эксперты CiscoTalos отметили, что в Сети уже попадаются сэмплы вредоносов, пытающихся эксплуатировать данную уязвимость и использовать код Насери в практических атаках.

Пока таких атак немного. По мнению экспертов Talos, хакеры тестируют и меняют эксплойт для дальнейшего использования в более широких масштабах.

В корпорации Microsoft заявили, что условием использования эксплойта Насери является наличие у потенциального хакера доступа к целевой системе и возможность запускать на ней код. Это несколько снижает степень угрозы.

«Общеизвестно, что киберкриминал очень пристально отслеживает любые новые уязвимости и информацию о них, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Считанные дни, а иногда и часы проходят с момента появления экспериментальных эксплойтов и практических попыток ими воспользоваться в целях нанесения кому-либо ущерба. В данном случае раскрытие уязвимости кажется преждевременным, с другой стороны, не сделай этого сам Насери, уязвимость бы обнаружил кто-то другой. Остается надеяться, что Microsoft не будет затягивать с исправлением проблемы».