Penyerang Secara Aktif Menargetkan Penginstal Windows Zero-Day

Attackers secara aktif mengeksploitasi kerentanan zero-day Pemasang Windows yang ditemukan ketika tambalan yang dikeluarkan Microsoft untuk lubang keamanan lain tidak cukup memperbaiki masalah asli dan tidak terkait.

Selama akhir pekan, peneliti keamanan Abdelhamid Naceri menemukan kerentanan elevasi hak istimewa Penginstal Windows yang dilacak sebagai CVE-2021-41379 yang ditambal Microsoft beberapa minggu yang lalu sebagai bagian dari pembaruan Patch Selasa November.

Namun, setelah memeriksa perbaikannya, Naceri menemukan bypass serta bug peningkatan hak istimewa yang lebih mengkhawatirkan. Peneliti memposting eksploitasi proof of concept (POC) pada hari Selasa di GitHub untuk bug yang baru ditemukan yang katanya berfungsi pada semua versi Windows.

yang saat ini didukung.Jika dieksploitasi, POC, yang disebut InstallerFileTakeOver, memberikan hak istimewa administrasi aktor di Windows 10, Windows 11 dan Windows Server ketika masuk ke mesin Windows dengan Edge terinstal.

Peer Research Mengkonfirmasi Eksploitasi dan Serangan Aktif

Peneliti di Cisco Talos Security Intelligence and Research Group serta yang lainnya mengonfirmasi bahwa POC dapat direproduksi serta bukti yang menguatkan bahwa pelaku ancaman sudah ada mengeksploitasi bug.

“Kerentanan ini memengaruhi setiap versi Microsoft Windows, termasuk Windows 11 dan Server 2022 yang sepenuhnya ditambal,” menurut sebuah posting di blog Cisco Talos oleh

Jaeson Schultz, pemimpin teknis untuk Cisco Talos. “Talos telah mendeteksi sampel malware di alam liar yang mencoba memanfaatkan kerentanan ini.”

Peneliti lain juga mengonfirmasi di Twitter bahwa POC berfungsi seperti yang diiklankan untuk memberikan eskalasi hak istimewa lokal.

“Dapat mengonfirmasi ini berfungsi, priv esc lokal, ” tweet peneliti keamanan Kevin Beaumont, yang mengatakan dia mengujinya pada Windows 10 20H2 dan Windows 11. “Tambalan sebelumnya yang dikeluarkan MS tidak memperbaiki masalah dengan benar.”

Discovery and More Details

Seperti yang dirinci oleh Microsoft, CVE-2021-41379 adalah a Peningkatan kerentanan hak istimewa Pemasang Windows dengan peringkat rendah pada Common Vulnerability Scoring System.

“Seorang penyerang hanya akan dapat menghapus file yang ditargetkan pada suatu sistem,” menurut catatan Microsoft tentang kelemahan tersebut. “Mereka tidak akan mendapatkan hak istimewa untuk melihat atau memodifikasi konten file.”

Namun, patch Microsoft untuk bug tersebut tidak memperbaiki kerentanan dengan benar, memungkinkan Naceri untuk melewatinya selama analisis patchnya, katanya di pos GitHub tentang POC.

Namun, bypass itu adalah kentang kecil dibandingkan dengan varian CVE-2021-41379 yang ia temukan selama penelitiannya yang “lebih kuat daripada yang asli,” itulah sebabnya Naceri memilih untuk menerbitkan POC dari cacat itu, tulisnya .

Kode yang dirilis Naceri memanfaatkan daftar kontrol akses diskresioner (DACL) untuk Microsoft Edge Elevation Service untuk mengganti file apa pun yang dapat dieksekusi pada sistem dengan file MSI, yang memungkinkan penyerang menjalankan kode sebagai administrator, jelas Schultz dari Cisco Talos dalam postingannya .

Tunggu Patch

POC terkait berfungsi di setiap instalasi windows yang mendukung, termasuk Windows 11 dan Server 2022 dengan patch November 2021, serta di instalasi server, Naceri wr ote.

“Sementara kebijakan grup secara default tidak mengizinkan pengguna standar untuk melakukan operasi MSI apa pun, fitur pemasangan administratif tampaknya benar-benar mengabaikan kebijakan grup,” tulisnya.

Karena “kompleksitas” kerentanan, kata Naceri bahwa solusi terbaik yang tersedia untuk cacat saat ini “adalah menunggu Microsoft untuk merilis patch keamanan.

“Setiap upaya untuk menambal biner secara langsung akan merusak penginstal Windows,” tulisnya, menambahkan bahwa mereka yang terpengaruh harus “tunggu dan lihat bagaimana Microsoft akan memasang patch lagi” sebelum mengambil tindakan mitigasi.

A Juru bicara Microsoft mengatakan kepada BleepingComputer bahwa perusahaan mengetahui pengungkapan Naceri dan “akan melakukan apa yang diperlukan” untuk menjaga pelanggan “aman dan terlindungi,” menurut laporan yang diterbitkan.

“Penyerang yang menggunakan metode yang dijelaskan harus sudah memiliki akses dan kemampuan untuk menjalankan kode pada mesin korban target,” kata juru bicara tersebut, menurut report.

Cybersecurity untuk lingkungan multi-cloud sangat menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost untuk “Pengantar OSquery dan CloudQuery,” Balai Kota sesuai permintaan dengan Eric Kaiser, insinyur keamanan senior Uptycs, dan cari tahu bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.

Register SEKARANG untuk mengakses acara sesuai permintaan!
Tulis komentar
Bagikan artikel ini:

  • Malwareliu
      iKerentanan
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: