![Afbeelding van het artikel Microsoft heeft een nuldag niet gecorrigeerd en nu loopt elke versie van Windows gevaar: Rapport [UPDATE]](https://i.kinja-img.com/gawker-media/image/upload/c_fit,f_auto,g_center,pg_1,q_60,w_1600/d1d016f020d7a3be44cc8a9d1b7c38f0.jpg)
Elke versie van Windows loopt gevaar vanwege de gevreesde zero-day-kwetsbaarheid nadat Microsoft niet goed functioneert Een soortgelijke fout corrigeren, beweert een cybersecurity-onderzoeker.
Het exploiteren van de nieuw ontdekte kwetsbaarheid is momenteel een proof of concept, maar de onderzoekers zijn van mening dat continu kleinschalig testen en tweaken de weg vrijmaakt voor een bredere aanval.
“Tijdens ons onderzoek hebben we recente malware-samples bekeken en hebben we er verschillende kunnen identificeren [bad actors] die al probeerde te profiteren van de maas in de wet”, zegt Nick Biasini, Cisco Talos Head of Outreach, Computer. “Omdat het volume laag is, zullen deze waarschijnlijk werken met proof of concept of testen van toekomstige campagnes.”
Het beveiligingslek maakt gebruik van een Windows Installer-fout (bijgehouden als CVE-2021-41379) die Microsoft beweert eerder deze maand te hebben gepatcht. Deze nieuwe variabele geeft gebruikers de mogelijkheid om lokale privileges te verhogen tot SYSTEM privileges, de hoogste gebruikersrechten die beschikbaar zijn op Windows. Eenmaal geplaatst, kunnen makers van malware deze privileges gebruiken om elk uitvoerbaar bestand op het systeem te vervangen door een MSI-bestand om code als beheerder uit te voeren. Kortom, ze kunnen het systeem overnemen.
In het weekend ontdekte beveiligingsonderzoeker Abd al-Hamid al-Nasiri de eerste fout, Geplaatst op Github De proof-of-concept exploit-code werkt ondanks de debug-release van Microsoft. Erger nog, Naceri is van mening dat deze nieuwe versie gevaarlijker is omdat het het groepsbeleid dat is ingebouwd in de administratieve installatie van Windows omzeilt.
“Deze variant is ontdekt tijdens het analyseren van de CVE-2021-41379-patch. De bug is echter niet goed verholpen in plaats van de override te laten vallen. Ik heb ervoor gekozen om deze variant te verlaten omdat deze krachtiger is dan de originele variant.”
BleepingComputer testte de Naceri-exploit en gebruikte deze binnen “enkele seconden” om een opdrachtprompt te openen met SYSTEEM-machtigingen van een account met “standaard”-rechten.
Hoewel u zich op dit moment niet al te veel zorgen hoeft te maken, kan deze kwetsbaarheid miljarden systemen in gevaar brengen als ze zich verspreiden. Het is vermeldenswaard dat deze exploit aanvallers beheerdersrechten geeft op de nieuwste versies van het Windows-besturingssysteem, waaronder Windows 10 en Windows 11 – we hebben het over meer dan een miljard systemen. Dit is echter geen externe exploit, dus kwaadwillende actoren hebben fysieke toegang tot uw apparaat nodig om de aanval uit te voeren.
Microsoft beschreef de aanvankelijke kwetsbaarheid als middelzwaar, maar Jason Schultz, technisch leider van Cisco’s Talos Security Intelligence & Research Group, bevestigde in Blogpost Het hebben van een proof-of-concept functionele code betekent dat de klok tikt als Microsoft een patch uitbrengt die echt werkt. Zoals het er nu uitziet, is er geen tijdelijke oplossing of oplossing voor deze bug.
Naciri, die BleepingComputer vertelde dat hij Microsoft niet op de hoogte had gesteld van het beveiligingslek voordat het openbaar werd gemaakt als een manier om een petitie in te dienen tegen kleinere betalingen in het bug bounty-programma van Microsoft, raadde externe bedrijven af om hun eigen patches vrij te geven omdat dit zou kunnen breken Ramen. installateur.
Microsoft is op de hoogte van het beveiligingslek, maar heeft geen tijdlijn gegeven voor wanneer de fix wordt vrijgegeven.
“We zijn op de hoogte van de onthulling en zullen alles doen wat nodig is om onze klanten veilig en beschermd te houden. Een aanvaller die de beschreven methoden gebruikt, moet toegang hebben tot en de mogelijkheid hebben om code uit te voeren op de computer van het doelwit”, vertelde Microsoft aan BleepingComputer.
Het bedrijf betaalt normaal gesproken correcties op “Patch Tuesday”, of de tweede dinsdag van elke maand.
Update 2:00 AM ET: We hebben het adres bijgewerkt en ons opgedragen om de bron van de claims van de cyberbeveiligingsfout te identificeren (deze bron is een cyberbeveiligingsonderzoeker Abdel Hamid Nasri). Microsoft reageerde op het Gizmodo-verhaal door duidelijk te maken dat het bedrijf de oorspronkelijke bug heeft opgelost. Nasiri denkt Microsoft heeft deze reparatie niet “goed” uitgevoerd; Hij beweert een metafoor voor correctie te hebben gevonden. We hebben de titel dienovereenkomstig aangepast. Van Microsoft:
“[The] Er is een afzonderlijk beveiligingslek gedetecteerd. Het is niet juist om te zeggen dat Microsoft CVE-2021-41379 niet heeft gerepareerd.”
Het bedrijf heeft geen update gegeven over de nieuwste versie die Naceri heeft onthuld.
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”