據(jù)thehackernews消息，惡意軟件研究員 Abdelhamid Naceri 近日發(fā)現(xiàn)了一個(gè)Windows零日漏洞，涉及Windows Installer 軟件組件，利用該漏洞，擁有部分權(quán)限的用戶可以提升自己的權(quán)限至系統(tǒng)管理員。

思科 Talos 安全情報(bào)與研究小組的技術(shù)負(fù)責(zé)人 Jaeson Schultz表示，思科已在發(fā)現(xiàn)該漏洞正在被黑客利用發(fā)起網(wǎng)絡(luò)攻擊，但目前依舊處于小規(guī)模攻擊階段，很有可能是為發(fā)起全面攻擊而進(jìn)行的測(cè)試活動(dòng)。

微軟曾在2021年11月的星期二補(bǔ)丁日活動(dòng)中發(fā)布了該漏洞的補(bǔ)丁，但似乎并沒有完全解決這一漏洞。Naceri發(fā)現(xiàn)在某些情況下，攻擊這不僅可以繞過微軟的補(bǔ)丁修復(fù)，還可以通過新發(fā)現(xiàn)的零日漏洞實(shí)現(xiàn)本地權(quán)限提升。

該漏洞編號(hào)為CVE-2021-41379，上周日(11月21日)Naceri針對(duì)這個(gè)新漏洞進(jìn)行了PoC測(cè)試，聲稱適用于所有受支持的 Windows 版本，其中包括Windows 10、Windows 11和Windows Server2022。

PoC測(cè)試被稱為“ InstallerFileTakeOver ”，Naceri通過覆蓋Microsoft Edge Elevation Service的自由訪問控制列表(DACL)來(lái)工作，用MSI安裝程序文件替換系統(tǒng)上的任何可執(zhí)行文件，允許攻擊者以 SYSTEM 權(quán)限運(yùn)行代碼。

而一旦攻擊者拿下管理員權(quán)限，那么他就可以利用該權(quán)限來(lái)完全控制受感染的系統(tǒng)，可以任意進(jìn)行各種操作，包括下載其他軟件，修改、刪除或者導(dǎo)出設(shè)備中的所有敏感信息等。

另外一位安全研究員 Kevin Beaumont在社交平臺(tái)上發(fā)布推文表示，他在Windows 10 20H2 和Windows 11上測(cè)試后發(fā)現(xiàn)完全有效，這證明微軟此前發(fā)布的補(bǔ)丁沒有徹底修復(fù)該漏洞。

值得注意的是Naceri還指出，CVE-2021-41379最近已經(jīng)出現(xiàn)了變種，且比“原版本更加強(qiáng)大”，目前最好的辦法就是等待Microsoft 發(fā)布針對(duì)該問題的安全補(bǔ)丁，徹底解決這個(gè)復(fù)雜的零日漏洞。

但微軟目前并未發(fā)布關(guān)于該漏洞的補(bǔ)丁公告。

參考來(lái)源：https://thehackernews.com/2021/11/warning-hackers-exploiting-new-windows.html