Новая Windows нулевого дня с общедоступным эксплойтом позволяет вам стать администратором

13
Защитник Microsoft для конечной точки не запускается на Windows Server

Исследователь безопасности публично раскрыл эксплойт для новой уязвимости Windows нулевого дня для повышения локальных привилегий, которая дает права администратора в Windows 10, Windows 11 и Windows Server.

Используя эту уязвимость, злоумышленники с ограниченным доступом к взломанному устройству могут легко повысить свои привилегии, чтобы способствовать распространению в сети.

Уязвимость затрагивает все поддерживаемые версии Windows, включая Windows 10, Windows 11 и Windows Server 2022.

Исследователь выпускает обход исправленной уязвимости

В рамках вторника патчей, выпущенного в ноябре 2021 года, Microsoft устранила уязвимость, связанную с повышением привилегий установщика Windows, которая отслеживалась как CVE-2021-41379.

Эта уязвимость была обнаружена исследователем безопасности Абдельхамидом Насери, который обнаружил обход исправления и более мощную новую уязвимость нулевого дня для повышения привилегий после изучения исправления Microsoft.

Вчера Насери опубликовал на GitHub рабочий экспериментальный эксплойт для нового нулевого дня , объяснив, что он работает во всех поддерживаемых версиях Windows.

«Этот вариант был обнаружен во время анализа патча CVE-2021-41379. Однако ошибка не была исправлена ​​правильно, вместо того, чтобы отказаться от обхода», — объясняет Насери в своей статье. «Я решил отказаться от этого варианта, поскольку он более мощный, чем исходный».

Кроме того, Насери объяснил, что, хотя можно настроить групповые политики так, чтобы «стандартные» пользователи не могли выполнять операции установщика MSI, его «нулевой день» обходит эту политику и будет работать в любом случае.

BleepingComputer протестировал эксплойт Naceri «InstallerFileTakeOver», и потребовалось всего несколько секунд, чтобы получить системные привилегии от тестовой учетной записи со «Стандартными» привилегиями.

Как это обычно бывает с нулевыми днями, Microsoft, скорее всего, исправит уязвимость в будущем обновлении Patch Tuesday.

Однако Насери предупредил, что не рекомендуется пытаться исправить уязвимость, пытаясь исправить двоичный файл, поскольку это, скорее всего, сломает программу установки.

«Лучший обходной путь, доступный на момент написания этой статьи, — это дождаться выпуска исправления безопасности от Microsoft из-за сложности этой уязвимости», — пояснил Насери.

«Любая попытка исправить двоичный файл напрямую приведет к поломке установщика Windows. Так что вам лучше подождать и посмотреть, как Microsoft снова прикрутит исправление».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here