Windows Installer 零日漏洞被发现在野外使用

Windows Installer 零日漏洞被发现在野外使用
攻击者正在野外使用 Windows Installer 的漏洞。零日漏洞源于微软已经修补的另一个漏洞。

作为2021 年 11 月补丁星期二更新的一部分,微软修补了漏洞CVE-2021-41379。然而,安全研究员 Abdelhamid Naceri 在 Windows Installer 中发现了另一个零日漏洞,同时绕过了微软对第一个问题的修复。

他通过 GitHub 为特权提升错误发送了一个名为InstallerFileTakeOver的概念证明 (POC) 漏洞。他说它适用于所有受支持的 Windows 平台版本,包括 Windows 11。 Naceri 指出成功的攻击将使威胁行为者在 Windows Server、Windows 10 和 Windows 11 上获得管理员访问权限。

Cisco Talos 安全情报和研究小组和其他研究人员通过测试 POC 跟进。他们发现可以复制,并且攻击者似乎领先一步并且已经利用了该漏洞。

“此漏洞影响 Microsoft Windows 的每个版本,包括完全修补的 Windows 11 和 Server 2022,” Cisco Talos 指出。“Talos 已经在野外检测到试图利用此漏洞的恶意软件样本。”

重新开始

微软最初发布了 Windows Installer 的修复程序,称这是通用漏洞评分系统上的一个低评级问题。该公司表示,攻击者只能删除系统上的文件而无法获得特权。

有两个问题。首先,该修复可以被 Naceri 绕过,然后他发现该漏洞的一个变体确实会授予攻击者更高的权限。

现在我们再次等待微软发布补丁。该公司表示已获悉这一发现并正在努力修复。

正文完
 0