Nowy 0-day na Windows pozwala przejąć pełne uprawnienia do systemu. Jest też kampania z malware!

W poprzednim artykule o podatnościach pisaliśmy o nieskutecznym łataniu błędów w aplikacjach do zarządzania infrastrukturą Active Directory, której producentem jest Zoho ManageEngine. Skutkiem tego była możliwość przejęcia całej infrastruktury informatycznej w firmie. W dzisiejszym opisywanym przypadku tym razem Microsoft znowu nie ma szczęścia w poprawianiu błędów. Właśnie powstał nowy PoC i tym samym publicznie dostępny exploit, w którym badacz pokazuje jak za pomocą specjalnie przygotowanego kodu wykonać lokalną eskalację uprawnień (LPE) ze zwykłego użytkownika do SYSTEM, czyli do najwyższych uprawnień na Windows.

Autor: Kapitan Hack Data dodania: 24 lis 2021 09:24 3 min czytania

Poprawki do poprawek i błędy

W ramach wtorkowego programu wydawania łat z listopada 2021 r. Microsoft naprawił lukę w zabezpieczeniach dotyczącą podniesienia uprawnień instalatora systemu Windows, śledzoną jako CVE-2021-41379. Nowa, opisywana podatność została wykryta w ten weekend (21 listopada) przez badacza bezpieczeństwa Abdelhamida Naceri, który po zbadaniu poprawki Microsoftu znalazł do niej obejście i odkrył potężniejszą, nową, umożliwiającą podniesienie uprawnień. W chwili obecnej luka stanowi błąd klasy zero-day i nie doczekał się jeszcze poprawki.

Naceri początkowo odkrył lukę umożliwiającą podniesienie uprawnień i współpracował z Microsoft, aby ją rozwiązać. Jednak łata opublikowana przez Microsoft nie była wystarczająca, aby naprawić błąd, a Naceri opublikował 22 listopada na GitHub kod exploita typu „proof-of-concept”, który działa pomimo poprawek wprowadzonych przez Microsoft. Kod wydany przez Naceri wykorzystuje arbitralną listę kontroli dostępu (DACL) dla usługi Microsoft Edge Elevation Service, aby zastąpić dowolny plik wykonywalny w systemie plikiem MSI, umożliwiając atakującemu uruchomienie kodu jako administrator.

Demo można zobaczyć na poniższym nagraniu

Kampania malware wykorzystująca nowy zero-day

Błyskawicznie w sieci pojawiła się nowa kampania wykorzystująca nową podatność i kod exploit’a opublikowany przez Abdelhamida. Pierwszą wzmiankę o niej publikuje zespół badawczy Cisco Talos, który udostępnia dwie reguły Snort do swoich rozwiązań do bezpieczeństwa (Cisco Secure Firewall).

Co dalej?

Chociaż Microsoft początkowo ocenił lukę jako błąd o średnim stopniu ważności, uzyskując podstawowy wynik CVSS 5,5 i czasowy wynik 4,8, opublikowanie kodu wykorzystującego lukę w weryfikacji poprawności działania z pewnością doprowadzi do dalszego nadużycia tej podatności. W chwili publikacji naszego artykułu Microsoft nie udostępnił jeszcze żadnych poprawek. Według Naceri, najlepszym obejściem dostępnym w chwili obecnej jest zaczekanie, aż Microsoft wyda łatę bezpieczeństwa, ze względu na złożoność tej luki. Przy okazji porusza na swoim blogu na Twitterze problem, w którym nie kryje niezadowolenia z nowego programu Bug Bounty.

„W ramach nowego programu „bug bounty” firmy Microsoft jeden z moich dni zerowych stracił wartość z 10 000 USD do 1000 USD”.

Zalecamy aktualizację oprogramowania antywirusowego i sond o IOC i przede wszystkim uczulenia użytkowników na podejrzany phishing.