据thehackernews报道,恶意软件研究人员AbdelhamidNaceri最近发现了一个涉及WindowsInstaller软件组件的Windows零日漏洞。利用这个漏洞,拥有部分权限的用户可以将他们的权限提升到系统管理员。思科Talos安全情报与研究组技术总监JaesonSchultz表示,思科发现该漏洞正被黑客利用发动网络攻击,但目前仍处于小规模攻击阶段,很有可能成为全面进攻的试金石。活动。微软在2021年11月的PatchTuesday活动中发布了针对该漏洞的补丁,但似乎并没有完全解决该漏洞。纳切里发现,在某些情况下,攻击不仅可以绕过微软的补丁修复,还可以通过新发现的零日漏洞实现本地提权。该漏洞编号为CVE-2021-41379,上周日(11月21日)Naceri针对这个新漏洞进行了PoC测试,声称它适用于所有受支持的Windows版本,包括Windows10、Windows11和WindowsServer2022。Naceri被称为“InstallerFileTakeOver”的PoC测试,其工作原理是覆盖MicrosoftEdgeElevationService的自由访问控制列表(DACL),将系统上的任何可执行文件替换为MSI安装程序文件,从而允许攻击者以SYSTEM权限运行代码。而一旦攻击者获得了管理员权限,就可以利用该权限完全控制被感染系统,并可以随意进行各种操作,包括下载其他软件,修改、删除或导出设备中的所有敏感信息等。研究人员KevinBeaumont在社交平台上发推表示,他在Windows1020H2和Windows11上进行了测试,发现完全有效,这证明微软此前发布的补丁并没有完全修复该漏洞。值得注意的是,Naceri还指出,最近出现了CVE-2021-41379的变种,而且它“比原始版本更强大”。天漏洞。不过,微软尚未针对该漏洞发布补丁公告。参考来源:https://thehackernews.com/2021/11/warning-hackers-exploiting-new-windows.html
