W ramach wtorkowego (23.11.2021) programu wydawania łat z listopada 2021 r. Microsoft naprawił lukę w zabezpieczeniach dotyczącą podniesienia uprawnień instalatora systemu Windows, śledzoną jako CVE-2021-41379.
Nowa, opisywana podatność została wykryta w ten weekend (21 listopada) przez badacza bezpieczeństwa Abdelhamida Naceri, który po zbadaniu poprawki Microsoftu znalazł do niej obejście i odkrył potężniejszą, nową, umożliwiającą podniesienie uprawnień. W chwili obecnej luka stanowi błąd klasy zero-day i nie doczekał się jeszcze poprawki.
Naceri początkowo odkrył lukę umożliwiającą podniesienie uprawnień i współpracował z Microsoft, aby ją rozwiązać. Jednak łata opublikowana przez Microsoft nie była wystarczająca, aby naprawić błąd, a Naceri opublikował 22 listopada na GitHub kod exploita typu „proof-of-concept”, który działa pomimo poprawek wprowadzonych przez Microsoft. Kod wydany przez Naceri wykorzystuje arbitralną listę kontroli dostępu (DACL) dla usługi Microsoft Edge Elevation Service, aby zastąpić dowolny plik wykonywalny w systemie plikiem MSI, umożliwiając atakującemu uruchomienie kodu jako administrator.
Błyskawicznie w sieci pojawiła się nowa kampania wykorzystująca nową podatność i kod exploit’a opublikowany przez Abdelhamida. Pierwszą wzmiankę o niej publikuje zespół badawczy Cisco Talos, który udostępnia dwie reguły Snort do swoich rozwiązań do bezpieczeństwa (Cisco Secure Firewall).
Chociaż Microsoft początkowo ocenił lukę jako błąd o średnim stopniu ważności, uzyskując podstawowy wynik CVSS 5,5 i czasowy wynik 4,8, opublikowanie kodu wykorzystującego lukę w weryfikacji poprawności działania z pewnością doprowadzi do dalszego nadużycia tej podatności. W chwili publikacji naszego artykułu Microsoft nie udostępnił jeszcze żadnych poprawek. Według Naceri, najlepszym obejściem dostępnym w chwili obecnej jest zaczekanie, aż Microsoft wyda łatę bezpieczeństwa, ze względu na złożoność tej luki. Przy okazji porusza na swoim blogu na Twitterze problem, w którym nie kryje niezadowolenia z nowego programu Bug Bounty.
Zalecamy aktualizację oprogramowania antywirusowego i przede wszystkim uczulamy Użytkowników na podejrzany phishing.