W poprzednim artykule o podatnościach pisaliśmy o nieskutecznym łataniu błędów w aplikacjach do zarządzania infrastrukturą Active Directory, której producentem jest Zoho ManageEngine. Skutkiem tego była możliwość przejęcia całej infrastruktury informatycznej w firmie. W dzisiejszym opisywanym przypadku tym razem Microsoft znowu nie ma szczęścia w poprawianiu błędów. Właśnie powstał nowy PoC i tym samym publicznie dostępny exploit, w którym badacz pokazuje jak za pomocą specjalnie przygotowanego kodu wykonać lokalną eskalację uprawnień (LPE) ze zwykłego użytkownika do SYSTEM, czyli do najwyższych uprawnień na Windows.
Poprawki do poprawek i błędy
W ramach wtorkowego programu wydawania łat z listopada 2021 r. Microsoft naprawił lukę w zabezpieczeniach dotyczącą podniesienia uprawnień instalatora systemu Windows, śledzoną jako CVE-2021-41379.
Nowa, opisywana podatność została wykryta w ten weekend (21 listopada) przez badacza bezpieczeństwa Abdelhamida Naceri, który po zbadaniu poprawki Microsoftu znalazł do niej obejście i odkrył potężniejszą, nową, umożliwiającą podniesienie uprawnień. W chwili obecnej luka stanowi błąd klasy zero-day i nie doczekał się jeszcze poprawki.
Naceri początkowo odkrył lukę umożliwiającą podniesienie uprawnień i współpracował z Microsoft, aby ją rozwiązać. Jednak łata opublikowana przez Microsoft nie była wystarczająca, aby naprawić błąd, a Naceri opublikował 22 listopada na GitHub kod exploita typu „proof-of-concept”, który działa pomimo poprawek wprowadzonych przez Microsoft. Kod wydany przez Naceri wykorzystuje arbitralną listę kontroli dostępu (DACL) dla usługi Microsoft Edge Elevation Service, aby zastąpić dowolny plik wykonywalny w systemie plikiem MSI, umożliwiając atakującemu uruchomienie kodu jako administrator.
Demo można zobaczyć na poniższym nagraniu
Kampania malware wykorzystująca nowy zero-day
Błyskawicznie w sieci pojawiła się nowa kampania wykorzystująca nową podatność i kod exploit’a opublikowany przez Abdelhamida. Pierwszą wzmiankę o niej publikuje zespół badawczy Cisco Talos, który udostępnia dwie reguły Snort do swoich rozwiązań do bezpieczeństwa (Cisco Secure Firewall).
Co dalej?
Chociaż Microsoft początkowo ocenił lukę jako błąd o średnim stopniu ważności, uzyskując podstawowy wynik CVSS 5,5 i czasowy wynik 4,8, opublikowanie kodu wykorzystującego lukę w weryfikacji poprawności działania z pewnością doprowadzi do dalszego nadużycia tej podatności. W chwili publikacji naszego artykułu Microsoft nie udostępnił jeszcze żadnych poprawek.
Według Naceri, najlepszym obejściem dostępnym w chwili obecnej jest zaczekanie, aż Microsoft wyda łatę bezpieczeństwa, ze względu na złożoność tej luki. Przy okazji porusza na swoim blogu na Twitterze problem, w którym nie kryje niezadowolenia z nowego programu Bug Bounty.
„W ramach nowego programu „bug bounty” firmy Microsoft jeden z moich dni zerowych stracił wartość z 10 000 USD do 1000 USD”.
Zalecamy aktualizację oprogramowania antywirusowego i sond o IOC i przede wszystkim uczulenia użytkowników na podejrzany phishing.