Κακόβουλοι παράγοντες έχουν ήδη αρχίσει να δοκιμάζουν ένα proof-of-concept exploit, που στοχεύει ένα νέο Microsoft Windows Installer zero-day, το οποίο αποκαλύφθηκε δημόσια από τον ερευνητή ασφάλειας Abdelhamid Naceri το Σαββατοκύριακο.
Δείτε επίσης: Κυκλοφόρησε patch για Exploit σφάλματος RCE στο Microsoft Exchange
“Η Talos έχει ήδη εντοπίσει δείγματα κακόβουλου λογισμικού που προσπαθούν να εκμεταλλευτούν αυτήν την ευπάθεια“, δήλωσε ο Jaeson Schultz, Τεχνικός Επικεφαλής της Cisco’s Talos Security Intelligence & Research Group.
Ωστόσο, σύμφωνα με τις δηλώσεις του Nick Biasini, επικεφαλής του τμήματος Outreach της Cisco Talos, αυτές οι απόπειρες εκμετάλλευσης αποτελούν μέρος επιθέσεων χαμηλού όγκου, που πιθανώς επικεντρώνονται σε δοκιμές και προσαρμογές εκμεταλλεύσεων.
«Κατά τη διάρκεια της έρευνάς μας, εξετάσαμε πρόσφατα δείγματα κακόβουλου λογισμικού και μπορέσαμε να εντοπίσουμε πολλά που ήδη προσπαθούσαν να αξιοποιήσουν το exploit», είπε ο Biasini.
«Δεδομένου ότι ο όγκος είναι χαμηλός, πιθανότατα πρόκειται για άτομα που εργάζονται πάνω στην απόδειξη του εννοιολογικού κώδικα ή τον δοκιμάζουν για μελλοντικές καμπάνιες. Αυτό αποτελεί απλώς μια ακόμη απόδειξη για το πόσο γρήγορα εργάζονται οι εισβολείς ώστε να εκμεταλλευτούν ένα δημόσια διαθέσιμο exploit.»
Η εν λόγω ευπάθεια είναι ένα σφάλμα κλιμάκωσης τοπικών προνομίων που βρέθηκε ως παράκαμψη σε μια ενημερωμένη έκδοση κώδικα που κυκλοφόρησε η Microsoft κατά τη διάρκεια του Patch Tuesday για το Νοέμβριο του 2021, για την αντιμετώπιση ενός ελαττώματος που εντοπίστηκε ως CVE-2021-41379.
Δείτε ακόμα: Νέο Windows zero-day επιτρέπει δικαιώματα διαχειριστή
Την Κυριακή, ο Naceri δημοσίευσε ένα λειτουργικό proof-of-concept exploit για αυτό το νέο zero-day, λέγοντας ότι λειτουργεί σε όλες τις υποστηριζόμενες εκδόσεις των Windows.
Εάν γίνει επιτυχής εκμετάλλευση, αυτή η παράκαμψη δίνει στους εισβολείς δικαιώματα SYSTEM σε ενημερωμένες συσκευές που εκτελούν τις πιο πρόσφατες εκδόσεις των Windows, συμπεριλαμβανομένων των Windows 10, Windows 11 και Windows Server 2022.
Τα προνόμια SYSTEM είναι τα υψηλότερα δικαιώματα χρήστη που είναι διαθέσιμα για τους χρήστες των Windows και καθιστούν δυνατή την εκτέλεση οποιασδήποτε εντολής λειτουργικού συστήματος.
Με την εκμετάλλευση αυτού του ελαττώματος, οι εισβολείς με περιορισμένη πρόσβαση σε παραβιασμένα συστήματα μπορούν εύκολα να αυξήσουν τα προνόμιά τους για να επιτύχουν πλευρική εξάπλωση εντός του δικτύου του θύματος.
Δείτε επίσης: FBI: Εξελιγμένη ομάδα εκμεταλλεύεται ένα zero-day σε FatPipe VPNs
Ένας εκπρόσωπος της Microsoft δήλωσε τα εξής σχετικά με το ζήτημα: «Είμαστε ενήμεροι για την αποκάλυψη και θα κάνουμε ό,τι είναι απαραίτητο για να διατηρήσουμε τους πελάτες μας ασφαλείς και προστατευμένους. Ένας εισβολέας που χρησιμοποιεί τις μεθόδους που περιγράφονται πρέπει να έχει ήδη πρόσβαση και τη δυνατότητα εκτέλεσης κώδικα στον υπολογιστή του θύματος στόχου.»
