现在每个版本的Windows都面临风险

轻吟潜唱丶华灯初上
阅读

现在每个版本的Windows都面临风险

“在我们的调查中,我们查看了最近的恶意软件样本,并能够识别出几个已经试图利用该漏洞的 [不良行为者],”Cisco Talos 的外展负责人 Nic Biasini 告诉BleepingComputer。“由于数量很少,这很可能是人们使用概念验证代码或测试未来的活动。”

该漏洞利用了微软认为本月早些时候修复的 Windows Installer 错误(跟踪为CVE-2021-41379 )。该漏洞使用户能够将本地权限提升到 SYSTEM 权限,这是 Windows 上可用的最高用户权限。一旦到位,恶意软件创建者可以使用这些权限将系统上的任何可执行文件替换为 MSI 文件,以管理员身份运行代码。简而言之,他们可以接管系统。

上周末,发现最初漏洞的安全研究员 Abdelhamid Naceri在 Github 上发布了一个概念验证漏洞利用代码,尽管微软发布了补丁,该代码仍然有效。更糟糕的是,Naceri 认为这个新版本更加危险,因为它绕过了 Windows 管理员安装中包含的组策略。

“这个变种是在分析 CVE-2021-41379 补丁时发现的。但是,该错误未正确修复,而不是放弃旁路。我已经选择放弃这个变体,因为它比原来的更强大,”Naceri 写道。

BleepingComputer 测试了 Naceri 的漏洞利用,并在“几秒钟内”使用它从具有“标准”权限的帐户打开具有 SYSTEM 权限的命令提示符。

虽然你现在不应该太担心,但如果允许它传播,这个漏洞可能会使数十亿系统处于危险之中。值得重申的是,此漏洞利用为攻击者提供了最新 Windows 操作系统版本的管理员权限,包括 Windows 10 和 Windows 11——我们谈论的是超过 10 亿个系统。不过,这不是远程攻击,因此不良行为者需要物理访问您的设备才能执行攻击。

微软将最初的漏洞标记为中等严重性,但思科 Talos 安全情报与研究小组的技术负责人 Jaeson Schultz 在一篇博文中强调,功能性概念验证代码的存在意味着微软发布的时钟正在滴答作响一个真正有效的补丁。就目前而言,没有针对此缺陷的修复或解决方法。

Naseri 告诉 BleepingComputer,他在公开之前没有向微软通知该漏洞,以此作为请愿反对微软错误赏金计划中较小支出的一种方式,他建议第三方公司不要发布自己的补丁,因为这样做可能会破坏 Windows安装程序。

微软知道该漏洞,但没有提供何时发布修复程序的时间表。

“我们知道这一披露,并将采取必要措施确保我们的客户安全和受到保护。使用所述方法的攻击者必须已经拥有访问权限并能够在目标受害者的机器上运行代码,”微软告诉 BleepingComputer。

该公司通常会在“补丁星期二”或每个月的第二个星期二推出补丁。我们已与 Microsoft 联系以获取详细信息,如果我们收到更多详细信息,将更新本文。

阅读
本文由用户上传,如有侵权请联系删除!

撰写回复
更多知识