Исследователь Абдельхамид Насери (Abdelhamid Naceri) вчера опубликовал в сервисе GitHub эксплойт, который позволяет получать права администратора на устройствах Windows с использованием уязвимости, которая пока не исправлена. Эксплойт работает на всех поддерживаемых клиентских и серверных версиях Windows, включая Windows 11 и Windows Server 2022 с установленными последними обновлениями от ноября 2021 года.
Данный эксплойт оказался работоспособным с тестовой системе под управлением Windows 10, версия 21H2. При локальном исполнении в контексте стандартной учетной записи, эксплойт позволил успешно получить повышенные привилегии. Портал Bleeping Computer также подтверждает информацию о работоспособности эксплойта.
Во Вторник Патчей (Patch Tuesday), 9 ноября 2021 года, компания Microsoft исправила еще одну уязвимость повышения привилегий в установщике Windows, обнаруженную Насери, с идентификатором CVE-2021-41379.
При анализе CVE-2021-41379 Насери обнаружил еще один вариант эксплойта, который не был корректно устранен. Новый вариант, выложенный исследователем в открытый доступ оказался «более мощным, чем исходный». Сам ИБ-специалист описывает доказательство концепции следующим образом:
Я убедился, что доказательство концепции работает чрезвычайно надежно при каждой попытке и не требует специальной подготовки. Доказательство концепции перезаписывает DACL службы повышения прав Microsoft Edge, копирует себя в расположение службы и выполняет ее, чтобы получить повышенные привилегии.
Данный метод работает не при каждой установке, потому что установщики Windows Server 2016 и Windows Server 2019 могут быть лишены службы повышения привилегий. Я намеренно оставил код, который отвечает за открытие файла, чтобы любой файл, указанный в первом аргументе, принимался при условии, что учетная запись SYSTEM имеет к нему доступ, и файл не используется. Таким образом, вы можете самостоятельно повышать права доступа на своих устройствах.
Запуск стандартных ограниченных учетных записей вместо учетных записей с административными привилегиями считается хорошей практикой безопасности, поскольку данная мера позволяет ограничить возможности успешных эксплойтов и атак в системе. Насери отметил, что данный эксплойт не затрагивает политика, которая может запрещать обычным пользователям выполнять операции MSI.
Администраторам и пользователям Windows следует дождаться патча, поскольку «любая попытка исправить двоичный файл напрямую приведет к потери работоспособности установщика Windows».
Насери намеренно не стал сообщать Microsoft об уязвимости перед публикацией эксплойта из-за того, что Microsoft уменьшила вознаграждения за обнаружение уязвимости.
А вы обычно используете учетную запись пользователя или учетную запись администратора в Windows?
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России