波及Win 11,让安全员自动放弃的零日漏洞,微软这次麻烦了

共 1910字,需浏览 4分钟

 ·

2021-12-02 12:23

整理 | 孙胜

出品 | CSDN(ID:CSDNnews)

8月23日微软刚刚修复了名为“PrintNightmare”高危零日漏洞,当用户插入 Razer(雷蛇)鼠标或者键盘时,黑客有可能获得Windows管理员权限。

屋漏偏逢连夜雨,仅仅过去三个月时间,微软再次被曝Windows系统又存在一个零日漏洞。据国外媒体报道,安全研究人员Abdelhamid Naceri发现Windows操作系统存在一个非法提升权限的零日漏洞,代号为CVE-2021-41379 。


1

微软推出有缺陷更新补丁


令人意外的是,该漏洞是微软“主动公开”的。

11月9日微软曾发布补丁修复此漏洞,然而安全研究人员Abdelhamid Naceri查看了微软发布的安全更新补丁后,发现微软并没有完全修复这个漏洞, Windows 10、11和Server 2022等系统新存在一个新的权限提升漏洞, Naceri将这个新漏洞命名为“安装程序文件接管” (InstallerFileTakeOver)。

据悉,该漏洞源于Windows Installer服务特定的缺陷,攻击者可以利用此漏洞在SYSTEM上下文中创建,提升当前账户的管理权限,然后以System身份权限执行任意代码,如删除文件或安装软件。

根据测试结果显示,零日漏洞包含低级别权限帐户打开System权限的命令提示符。换句话说,黑客可以利用这个漏洞轻松获得被入侵设备的最高权限,使其电脑病毒在网络中快速扩散。

Naceri在GitHub上发布了这个零日漏洞的概念验证(POC) ,用来帮助用户确认漏洞是否存在,并且这个适用于所有受支持的 Windows 版本。“这个变种是在分析CVE-2021-41379补丁期间发现的。这个错误并没有被正确修复。”Naceri在他的文章中解释道。“我选择放弃这继续修补这个漏洞,因为它比原来更强大。”


2

随时减少的赏金计划引猎人不满


对于Naceri解释了他为什么公开零日漏洞时,Naceri称:“自2020年4月以来,微软的赏金计划发生了变化,如果微软不降低这些赏金级别,我真的不会这样做。”

而且Naceri并不是唯一一个不满微软减少bug赏金奖励的安全研究人员。

一位名叫MalwareTech网友表示,在微软新的漏洞赏金计划下,他的一个bug赏金奖10000美元变成了1000美元 。此外还有网友劝告Naceri :“当心!微软将随时减少您的赏金!”

自从安全研究人员Naceri公布零日漏洞后,Cisco Talos研究人员就发现已有黑客开始利用进行恶意破坏了。Cisco Talos主管Nick Biasini提到,“在我们最近的恶意软件样本中,已经识别出几个在尝试利用该漏洞的样本。”


3

等待Microsoft重新发布安全补丁


面对如此强大的漏洞,微软官方也站出来表态,表示他们很清楚该漏洞被公开披露后的影响,并称将采取必要措施确保客户系统安全。此外微软官方还强调使用上述方法的攻击者,必须先拥有访问权限才能在目标受害者的机器上运行代码。

此外,微软承诺软在下个星期二发布最新补丁修复零日漏洞。

同时安全人员Naceri也表示,鉴于此漏洞的复杂性,目前针对该漏洞的最佳解决方法,现在最佳解决方法是等待 Microsoft 自己发布安全补丁,任何直接修补二进制文件的尝试都会破坏 Windows 安装程序。

Naceri最后还强调,不建议第三方公司尝试通过二进制文件来修复漏洞,因为它可能会破坏安装程序。

对此,你怎么看?欢迎留言评论。

参考链接:

  • https://www.xda-developers.com/windows-11-kb5007215-build-22000-318/

  • https://www.bleepingcomputer.com/news/security/malware-now-trying-to-exploit-new-windows-installer-zero-day/


往期推荐

1、别再问我exe反编译成Python脚本了!

2、再见Tkinter,这款GUI神器值得拥有!

3不限速了?度盘等8大网盘承诺年底前推出无差别速率产品

4、为什么阿里巴巴/腾讯不去开发被卡脖子的工业软件?

5、华为首次自曝“天才少年”成果:入职不到一年就干成这件大事,网友:值200万年薪!


点击关注公众号,阅读更多精彩内容

浏览 25
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报