Вредоносное ПО пытается использовать эксплойт к zero day в новом установщике Windows

отредактировано November 2021 Раздел: Уязвимости систем и приложений
Вредоносное ПО пытается использовать эксплойт к zero day в новом установщике Windows

Создатели вредоносных программ уже начали тестирование экспериментального эксплойта, нацеленного на «нулевой день» в новом установщике Microsoft Windows», о котором на выходных публично сообщил исследователь безопасности Абдельхамид Насери.
«Talos уже обнаружил образцы вредоносного ПО, которые пытаются воспользоваться этой уязвимостью», - сказал Джейсон Шульц, технический руководитель подразделения Cisco Talos Security Intelligence & Research Group.

Однако, эти попытки использования уязвимостей являются частью небольших атак, которые, вероятно, направлены на тестирование и настройку эксплойтов для полномасштабных кампаний.

«В ходе нашего расследования мы изучили последние образцы вредоносных программ и смогли идентифицировать несколько, которые уже пытались использовать эксплойт»

«Поскольку объем невелик, это, скорее всего, люди, работающие над проверкой кода концепции или тестированием будущих кампаний. Это просто еще одно свидетельство того, как быстро злоумышленники работают, чтобы превратить общедоступный эксплойт в оружие».


Рассматриваемая уязвимость - это ошибка локального повышения привилегий, обнаруженная как обход патча, выпущенного Microsoft в ноябре 2021 года во вторник исправлений для исправления ошибки, отмеченной как CVE-2021-41379.

В воскресенье Насери опубликовал рабочую версию эксплойта для этого нового нулевого дня, заявив, что он работает во всех поддерживаемых версиях Windows.

В случае успешного использования этот обход дает злоумышленникам системные привилегии на современных устройствах под управлением последних выпусков Windows, включая Windows 10, Windows 11 и Windows Server 2022.

Системные привилегии - это наивысшие права, доступные пользователю Windows, которые позволяют выполнять любую команду операционной системы.

Используя этот нулевой день, злоумышленники с ограниченным доступом к скомпрометированным системам могут легко повысить свои привилегии, чтобы способствовать распространению в сети жертвы.

BleepingComputer протестировал эксплойт Naceri и использовал его для успешного открытия командной строки с разрешениями SYSTEM из учетной записи с низкоуровневыми привилегиями «Стандарт».

«Лучший обходной путь, доступный на момент написания этой статьи, - это дождаться выпуска исправления безопасности от Microsoft из-за сложности этой уязвимости», - пояснил Насери.

«Любая попытка исправить двоичный файл напрямую приведет к поломке установщика Windows. Так что вам лучше подождать и посмотреть, как Microsoft снова прикрутит исправление».

«Мы знаем о раскрытии информации и сделаем все необходимое для обеспечения безопасности и защиты наших клиентов. Злоумышленник, использующий описанные методы, должен уже иметь доступ и возможность запускать код на машине целевой жертвы», - сказал BleepingComputer представитель Microsoft, когда BC попросил предоставить более подробную информацию об этой уязвимости.

https://www.bleepingcomputer.com/news/security/malware-now-trying-to-exploit-new-windows-installer-zero-day/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.