Pesquisadores da Cisco identificaram que hackers conseguem explorar bug do Windows Installer da Microsoft mesmo em sistemas com patch lançado em novembro pela Microsoft. A falha pode ser explorada para dar a um invasor direitos de administrador em um sistema comprometido, de acordo com publicação do site ZDNet.
A Microsoft lançou um patch para a falha de elevação de privilégio no componente Windows Installer para implantação de aplicativo empresarial (CVE-2021-41379) em novembro. O bug teve uma classificação “importante” e uma pontuação de gravidade de apenas 5,5 em 10.
No entanto, de acordo com pesquisadores de malware do Talos, grupo de inteligência da Cisco, a falha não estava sendo explorada ativamente quando foi descoberta, mas está agora.
Ao contrário do que diz a Microsoft, a Cisco relata que o bug pode ser explorado até mesmo em sistemas com o patch. A Microsoft havia dito que um invasor só seria capaz de excluir arquivos direcionados em um sistema e não obteria privilégios para visualizar ou modificar o conteúdo dos arquivos, diz o ZDNet.
Porém, Jaeson Schultz, do Cisco Talos, diz que “essa vulnerabilidade permite que um invasor com uma conta de usuário limitada eleve seus privilégios para se tornar um administrador”. “Esta vulnerabilidade afeta todas as versões do Microsoft Windows, incluindo o Windows 11 e o Server 2022 totalmente corrigidos. O Talos já detectou amostras de malware à solta que estão tentando tirar proveito dessa vulnerabilidade”, diz Schultz.
De acordo com a publicação, Abdelhamid Naceri, pesquisador que relatou o CVE-2021-41379 para a Microsoft, testou sistemas corrigidos e em 22 de novembro publicou um código de exploração de prova de conceito no GitHub, que mostra que funciona apesar das correções da Microsoft. Ele também funciona em versões de servidor do Windows afetado, incluindo o Windows Server 2022, diz o site.
“O código que a Naceri lançou aproveita a lista de controle de acesso discricionário (DACL) para o Microsoft Edge Elevation Service para substituir qualquer arquivo executável no sistema por um arquivo MSI, permitindo que um invasor execute o código como administrador”, escreve Shultz, da Cisco.
Ele acrescenta que esse “código de exploração de prova de conceito funcional certamente conduzirá a abusos adicionais dessa vulnerabilidade”.
Naceri diz que não há solução alternativa para esse bug além de outro patch da Microsoft. No entanto, a Microsoft ainda não reconheceu a nova prova de conceito de Naceri e ainda não disse se vai lançar um patch para ele, destaca a publicação.
Com informações de ZDNet
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…
A evolução da inteligência artificial nos serviços financeiros ainda esbarra em desafios relacionados à experiência…
A Motorola Solutions anunciou a assinatura de um acordo definitivo para adquirir a D-Fend Solutions,…
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…