Исследователь Абдельхамид Насери (Abdelhamid Naceri) вчера опубликовал в сервисе GitHub эксплойт, который позволяет получать права администратора на устройствах Windows с использованием уязвимости, которая пока не исправлена. Эксплойт работает на всех поддерживаемых клиентских и серверных версиях Windows, включая Windows 11 и Windows Server 2022 с установленными последними обновлениями от ноября 2021 года.
Данный эксплойт оказался работоспособным с тестовой системе под управлением Windows 10, версия 21H2. При локальном исполнении в контексте стандартной учетной записи, эксплойт позволил успешно получить повышенные привилегии. Портал Bleeping Computer также подтверждает информацию о работоспособности эксплойта.
Во Вторник Патчей (Patch Tuesday), 9 ноября 2021 года, компания Microsoft исправила еще одну уязвимость повышения привилегий в установщике Windows, обнаруженную Насери, с идентификатором CVE-2021-41379.
При анализе CVE-2021-41379 Насери обнаружил еще один вариант эксплойта, который не был корректно устранен. Новый вариант, выложенный исследователем в открытый доступ оказался «более мощным, чем исходный». Сам ИБ-специалист описывает доказательство концепции следующим образом:
Я убедился, что доказательство концепции работает чрезвычайно надежно при каждой попытке и не требует специальной подготовки. Доказательство концепции перезаписывает DACL службы повышения прав Microsoft Edge, копирует себя в расположение службы и выполняет ее, чтобы получить повышенные привилегии.
Данный метод работает не при каждой установке, потому что установщики Windows Server 2016 и Windows Server 2019 могут быть лишены службы повышения привилегий. Я намеренно оставил код, который отвечает за открытие файла, чтобы любой файл, указанный в первом аргументе, принимался при условии, что учетная запись SYSTEM имеет к нему доступ, и файл не используется. Таким образом, вы можете самостоятельно повышать права доступа на своих устройствах.
Запуск стандартных ограниченных учетных записей вместо учетных записей с административными привилегиями считается хорошей практикой безопасности, поскольку данная мера позволяет ограничить возможности успешных эксплойтов и атак в системе. Насери отметил, что данный эксплойт не затрагивает политика, которая может запрещать обычным пользователям выполнять операции MSI.
Администраторам и пользователям Windows следует дождаться патча, поскольку «любая попытка исправить двоичный файл напрямую приведет к потери работоспособности установщика Windows».
Насери намеренно не стал сообщать Microsoft об уязвимости перед публикацией эксплойта из-за того, что Microsoft уменьшила вознаграждения за обнаружение уязвимости.
А вы обычно используете учетную запись пользователя или учетную запись администратора в Windows?
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов