Вредоносное ПО пытается использовать новый установщик Windows нулевого дня

18
Вредоносное ПО пытается использовать новый установщик Windows нулевого дня

Создатели вредоносных программ уже начали тестирование экспериментального эксплойта, нацеленного на новый установщик Microsoft Windows «нулевого дня», о котором на выходных публично сообщил исследователь безопасности Абдельхамид Насери.

«Talos уже обнаружил образцы вредоносного ПО, которые пытаются воспользоваться этой уязвимостью», — сказал Джейсон Шульц, технический руководитель подразделения Cisco Talos Security Intelligence & Research Group.

Однако, как сказал BleepingComputer руководитель отдела по связям с общественностью Cisco Talos Ник Биазини, эти попытки использования уязвимостей являются частью небольших атак, которые, вероятно, направлены на тестирование и настройку эксплойтов для полномасштабных кампаний.

«В ходе нашего расследования мы изучили последние образцы вредоносных программ и смогли идентифицировать несколько, которые уже пытались использовать эксплойт», — сказал Биазини BleepingComputer.

«Поскольку объем невелик, это, вероятно, люди, работающие над проверкой кода концепции или тестированием для будущих кампаний. Это просто еще одно свидетельство того, как быстро злоумышленники работают, чтобы превратить общедоступный эксплойт в оружие».

Zero-day обходит патч установщика Windows

Рассматриваемая уязвимость — это ошибка локального повышения привилегий, обнаруженная как обход патча, выпущенного Microsoft в ноябре 2021 года во вторник исправлений для исправления ошибки, отмеченной как CVE-2021-41379 .

В воскресенье Насери опубликовал рабочую версию эксплойта для этого нового нулевого дня, заявив, что он работает во всех поддерживаемых версиях Windows.

В случае успешного использования этот обход дает злоумышленникам системные привилегии на современных устройствах с последними выпусками Windows , включая Windows 10, Windows 11 и Windows Server 2022.

Системные привилегии — это наивысшие права, доступные пользователю Windows, которые позволяют выполнять любые команды операционной системы.

Используя этот нулевой день, злоумышленники с ограниченным доступом к скомпрометированным системам могут легко повысить свои привилегии, чтобы способствовать распространению в сети жертвы.

BleepingComputer протестировал эксплойт Naceri и использовал его для успешного открытия командной строки с разрешениями SYSTEM из учетной записи с низкоуровневыми привилегиями «Стандарт».

«Лучший обходной путь, доступный на момент написания этой статьи, — это дождаться выпуска исправления безопасности от Microsoft из-за сложности этой уязвимости», — пояснил Насери.

«Любая попытка исправить двоичный файл напрямую приведет к поломке установщика Windows. Так что вам лучше подождать и посмотреть, как Microsoft снова прикрутит исправление».

Предыдущая статьяФБР предупреждает о фишинге, нацеленном на клиентов известных брендов
Следующая статьяЗлоумышленники находят уязвимые службы и взламывают их за 24 часа

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here