Chaque version de Windows est en danger à cause de L’effrayante vulnérabilité zero-day après que Microsoft n’a pas corrigé le bogue.
L’exploit est actuellement considéré comme une preuve de concept, mais les chercheurs pensent que la poursuite des tests à petite échelle et la modification de cet exploit ouvrent la voie à une attaque plus large.
« Au cours de notre enquête, nous avons examiné des échantillons de logiciels malveillants récents et avons pu en identifier plusieurs. [bad actors] qui essayait en fait de profiter de l’échappatoire », Nick Biacini, N.-É.d’oUtrich, RVieille Ordinateur. « Parce que le volume est faible, ceux-ci fonctionneront probablement avec une preuve de concept ou des tests de futures campagnes. »
La vulnérabilité tire parti d’une erreur de Windows Installer (suivie comme CVE-2021-41379) que Microsoft pensait avoir corrigé plus tôt ce mois-ci. La faille donne aux utilisateurs la possibilité d’élever les privilèges locaux aux privilèges SYSTEM, qui sont les droits d’utilisateur les plus élevés disponibles sur Windows. Une fois placés, les créateurs de logiciels malveillants peuvent utiliser ces privilèges pour remplacer n’importe quel fichier exécutable sur le système par un fichier MSI pour exécuter le code en tant qu’administrateur. En bref, ils peuvent contrôler le système.
Au cours du week-end, le chercheur en sécurité Abd al-Hamid al-Nasiri a découvert la faille initiale, Publié sur Github Le code d’exploitation de preuve de concept fonctionne malgré la version de débogage de Microsoft. Pire encore, Naceri estime que cette nouvelle version est plus dangereuse car elle contourne la politique de groupe intégrée à l’installation administrative de Windows.
« Cette variante a été découverte lors de l’analyse du correctif CVE-2021-41379. Le bogue n’a pas été correctement corrigé, cependant, plutôt que de supprimer le remplacement. J’ai choisi d’abandonner cette variante car elle est plus puissante que la variante d’origine. »
BleepingComputer a testé l’exploit Naceri et, en « quelques secondes », l’a utilisé pour ouvrir une invite de commande avec les autorisations SYSTEM à partir d’un compte avec des privilèges « standard ».
Bien que vous ne devriez pas trop vous inquiéter pour le moment, cette vulnérabilité pourrait mettre des milliards de systèmes en danger si elle se propageait. Il convient de noter que cet exploit donne aux attaquants des privilèges d’administrateur sur les dernières versions du système d’exploitation Windows, y compris Windows 10 et Windows 11 – nous parlons de plus d’un milliard de systèmes. Ce n’est pas de l’exploitation à distance Malgré cela, les mauvais acteurs auront besoin d’un accès physique à votre appareil pour mener à bien l’attaque.
Microsoft a décrit la vulnérabilité initiale comme modérément grave, mais Jason Schultz, àtechnicien pourLe directeur du Talos Security Intelligence & Research Group de Cisco, en Article de blog Avoir un code fonctionnel de validation de principe signifie que le temps presse pour que Microsoft publie un correctif qui fonctionne réellement. Dans l’état actuel des choses, il n’y a pas de solution de contournement ou de contournement pour ce bogue.
Naciri, qui a déclaré à BleepingComputer qu’il n’avait pas envoyé d’avis à Microsoft sur la vulnérabilité avant sa publication au public comme moyen de pétition contre les petits paiements dans le programme de primes aux bogues de Microsoft, a déconseillé aux sociétés tierces de publier leurs propres correctifs car cela pourrait casser Les fenêtres. installateur.
Microsoft est conscient de la vulnérabilité mais n’a pas fourni de calendrier pour la publication du correctif.
« Nous sommes au courant de la divulgation et ferons tout ce qui est nécessaire pour assurer la sécurité et la protection de nos clients. Un attaquant utilisant les méthodes décrites doit avoir accès et avoir la possibilité d’exécuter du code sur la machine de la victime cible », a déclaré Microsoft à BleepingComputer.
La société paie généralement les corrections le « Patch Tuesday » ou le deuxième mardi de chaque mois. Nous avons contacté Microsoft pour plus de détails et mettrons à jour cet article si nous recevons plus de détails.