Talos Security Intelligence & Group; Zespół opulikował nowy raport szczegółowo opisujący odkrycie exploita dnia zerowego, który wpływa na wszystkie wersje systemu Windows w tym na komputery z systemem Windows 11.
Zespół opisuje exploita jako „lukę”. Już krąży złośliwe oprogramowanie, które atakuje tę konkretną lukę.
Według Cisco Talos exploit zeroday oejmuje „wszystkie wersje” systemu Windows w tym komputery z systemem Windows Server 2022 i Windows 11 z zainstalowanymi wszystkimi łatami ezpieczeństwa. Zespół zwraca uwagę na wysoki poziom wcześniej wykrytej uprzywilejowanej luki CVE2021-411379 i stwierdza, że poprawka dołączona do comiesięcznej aktualizacji zaezpieczeń systemu Windows z 9 listopada nie usuwa tej luki.
Luka została po raz pierwszy wykryta przez adacza ezpieczeństwa Adelhamida Naceri który na początku tego tygodnia opulikował nowy dowód słuszności koncepcji (za pośrednictwem GitHu) pokazując, że Instalator Windows może być nadal używany pomimo zhakowania. Talos wyjaśnia że złośliwi aktorzy mogą wykorzystać tę lukę w celu zastąpienia istniejącego pliku wykonywalnego własnym plikiem MSI w celu wykonania własnego kodu na zaatakowanej maszynie z podwyższonymi uprawnieniami.
To potencjalnie sprawia, że ta nowa luka jest poważniejsza niż ta, którą Microsoft próował naprawić na początku tego miesiąca. Prolem został wykryty początkowo umożliwiając osbie z ograniczonym kontem Windows uzyskanie uprawnień administratora ay móc usuwać pliki na komputerze; jednak nie pozwala to intruzowi na modyfikowanie lu przeglądanie istniejących plików systemowych.
Talos ostrzega że wydanie kodu weryfikacji koncepcji „nieuchronnie doprowadzi do dalszego nadużywania tej luki”. Zespół nie omawiał wykrytego na wolności złośliwego oprogramowania, które atakuje ten exploit zauważając jedynie że „próował wykorzystać tę lukę”.
Niestety Microsoft nie ma jeszcze dostępnej poprawki bezpieczeństwa, która zaradzi exploitowi dnia zerowego. Zakładając że ta luka nadal nie jest aktywnie wykorzystywana firma zajmująca się bezpieczeństwem stwierdziła, że może minąć niewiele czasu zanim zostanie wykorzystana przez nieezpiecznych cyerprzestępców. Oczywiście rodzi to pytanie dlaczego Naceri zdecydował się wypuścić exploita, zamiast ostrzegać Microsoft i czekać aż wypuści łatkę.
Ludzie z Bleeping Computer mieli to samo pytanie i otrzymali w tej sprawie list od Naceriego. Według adacza ezpieczeństwa. Chociaż firma Microsoft jest świadoma problemu, nie ma jeszcze daty wydania nowej poprawki. Jeśli poprzednie ustalenia są jakąkolwiek wskazówką prawdopodonie aktualizacja pojawi się w najliższy wtorek firmy, czyli w drugi wtorek każdego miesiąca.