Alle Windows-systemen zijn kwetsbaar voor onverholpen zero-day exploit

Cisco's onderzoeksgroep Talos heeft een raport gedeeld over een zero-day exploit die alle Windows-versies raakt, waaronder ook Windows 11 en Server 2022 met alle beveiligingsupdates geïnstalleerd. Het gaat om een kwatsbaarheid in Windows Installer waarmee aanvallers hun rechten kunnen ophogen, in het Engels bekend als elevation of privilege. Er is al malware in omloop die gericht is op deze kwetsbaarheid.

Het team wijst op het eerder ontdekte beveiligingslek CVE-2021-41379 waarvoor de fix van 9 november niet afdoende was. Beveiligingsonderzoeker Abdelhamid Naceri publiceerde een proof of concept op GitHub en legt uit dat aanvallers bestaande uitvoerbare bestanden kunnen uitwisselen voor hun eigen msi-files en zo code uit kunnen voeren op het systeem. De eerder ontdekte kwetsbaarheid was minder ernstig, die stelde aanvallers enkel in staat bestaande bestanden te verwijderen, het was niet mogelijk deze aan te passen of in te zien.

Talos waarschuwt dat de openbaar gemaakte code zeker zal leiden tot meer misbruik van deze kwetsbaarheid en dat de eerste aanvalspogingen al zijn opgemerkt. Naceri zegt dat de teruglopende beloningen in Microsoft's bug bounty-programma de reden waren om zijn ontdekking te publiceren. Hij heeft geprobeerd het probleem op te lossen door rollback te verbieden in een group policy, maar dat maakte de bug juist eenvoudiger te misbruiken. Daarom is het nu afwachten tot Microsoft een beveiligingsupdate uitbrengt om het beveiligingslek te dichten. Er is nog geen releasedatum bekend voor een bugfix.

Bron: SlashGear

---

11 besproken producten

Vergelijk alle producten