恶意软件创建者已经开始测试针对安全研究人员 Abdelhamid Naceri 周末公开披露的新 Microsoft Windows Installer 零日漏洞的概念验证漏洞。“Talos 已经在野外检测到试图利用此漏洞的恶意软件样本,”思科 Talos 安全情报与研究小组的技术负责人 Jaeson Schultz说。然而,正如 Cisco Talos 的外展主管 Nick Biasini 告诉 BleepingComputer 的那样,这些漏洞利用尝试是小规模攻击的一部分,可能专注于测试和调整漏洞利用以进行全面的活动。
“在我们的调查过程中,我们查看了最近的恶意软件样本,并能够识别出几个已经试图利用该漏洞的样本,”Biasini 告诉 BleepingComputer。“由于数量很少,这很可能是人们在处理概念代码证明或为未来的活动进行测试。这只是更多地证明了对手如何迅速将公开可用的漏洞利用武器化。”
有问题的漏洞是一个本地特权提升错误,它是微软在 2021 年 11 月的补丁星期二发布的补丁的绕过,以解决跟踪为 CVE-2021-41379 的缺陷 。周日,Naceri 发布了 针对这个新的零日漏洞的有效概念验证,称它适用于所有受支持的 Windows 版本。
如果成功利用,此绕过 为攻击者提供了对运行最新 Windows 版本(包括 Windows 10、Windows 11 和 Windows Server 2022)的最新设备的系统权限。SYSTEM 权限是 Windows 用户可用的最高用户权限,可以执行任何操作系统命令。通过利用这种零日漏洞,对受感染系统的访问权限有限的攻击者可以轻松提升其特权,以帮助在受害者网络中横向传播。
BleepingComputer 已经测试了 Naceri 的漏洞,并使用它从具有低级别“标准”权限的帐户成功打开具有 SYSTEM 权限的命令提示符。“由于此漏洞的复杂性,在撰写本文时可用的最佳解决方法是等待 Microsoft 发布安全补丁,”Naceri 解释道。“任何直接修补二进制文件的尝试都会破坏 Windows 安装程序。所以你最好等待,看看微软将如何再次破解补丁。”微软发言人在接受 BleepingComputer 采访时表示:“我们知道这一披露,并将采取必要措施确保我们的客户安全和受到保护。使用上述方法的攻击者必须已经拥有访问权限并能够在目标受害者的机器上运行代码。”询问有关此漏洞的更多详细信息。