黑客利用新的Windows Installer零日漏洞在野外进行攻击

攻击者正在积极努力利用最近披露的权限提升漏洞的一个新变种，在完全修补的系统上可能执行任意代码，这再次证明了对手如何迅速采取行动，将公开可用的漏洞武器化。

Cisco Talos透露，它“在野外检测到恶意软件样本，这些样本正试图利用此漏洞。”

追踪到CVE-2021-41379，安全研究员Abdelhamid Naceri发现，影响Windows安装软件组件的特权漏洞的提升最初被解决为2021年11月微软补丁星期二更新的一部分。

然而，在补丁不足的情况下，Naceri发现不仅可以绕过Microsoft实施的修复，还可以通过新发现的零日漏洞实现本地权限升级。

概念验证（PoC）漏洞被称为“InstallerFileTakeOver”，其工作原理是覆盖Microsoft Edge Elevation Service的自主访问控制列表（DACL），以MSI安装程序文件替换系统上的任何可执行文件，从而允许攻击者以系统权限运行代码。

然后，具有管理员权限的攻击者可能会滥用访问权限来获得对受损系统的完全控制，包括下载其他软件、修改、删除或过滤机器中存储的敏感信息的能力。

安全研究人员凯文·博蒙特（Kevin Beaumont）在推特上证实了这一发现：“可以确认这一点。在Windows 10 20H2和Windows 11上进行了测试。之前发布的补丁没有正确修复该问题。”。

Naceri指出，CVE-2021-41379的最新版本“比原来的版本更强大”，最好的做法是“由于该漏洞的复杂性”，等待微软发布针对该问题的安全补丁

一名微软发言人通过电子邮件告诉《黑客新闻》：“我们知道这一消息，并将采取必要措施确保我们的客户安全和受到保护。”。“使用上述方法的攻击者必须已经拥有在目标受害者机器上运行代码的权限和能力。”

更新：0patch已发布免费微修补程序，以修复Windows Installer组件中的“InstallerFileTakeOver”零天漏洞。本地无特权用户可能会滥用该漏洞来覆盖现有系统可执行文件，然后任意更改其内容以获得系统权限。

0patch的Mitja Kolsek在周四发表的一篇文章中说：“不需要太多的想象力，就可以看出，接管一个特权进程正在使用的可执行文件，就可以以该进程的权限执行代码。”。