Tin tặc đang cố vượt qua các bản vá trong Windows Microsoft

Tin tặc đang nỗ lực khai thác một biến thể mới của lỗ hổng leo thang đặc quyền được tiết lộ gần đây để có thể thực thi mã tùy ý trên các hệ thống đã vá lỗi.

Cisco Talos cho biết "đã phát hiện ra một số phần mềm độc hại đang cố gắng lợi dụng lỗ hổng này trong thực tế."

Lỗ hổng CVE-2021-41379, được nhà nghiên cứu bảo mật Abdelhamid Naceri phát hiện, cho phép tin tặc leo thang đặc quyền, ảnh hưởng đến phần mềm Windows Installer. Microsoft đã phát hành bản vá để khắc phục lỗ hổng trong bản cập nhật tháng 11 năm 2021.

Tuy nhiên, Naceri đã phát hiện ra bản vá chưa được hoàn thiện cho phép đối tượng tấn công có thể khai thác hệ thống đã vá và leo thang đặc quyền cục bộ thông qua một lỗ hổng zero-day mới được phát hiện.

Mã khai thác (PoC) có tên "InstallerFileTakeOver" hoạt động bằng cách ghi đè danh sách kiểm soát truy cập tùy ý (DACL) cho Microsoft Edge Elevation Service để thay thế các tệp thực thi trên hệ thống bằng một tệp cài đặt MSI, cho phép kẻ tấn công thực thi mã với đặc quyền SYSTEM.

Kẻ tấn công có quyền quản trị viên có thể toàn quyền kiểm soát hệ thống bị xâm phạm, bao gồm khả năng tải xuống phần mềm độc hại và sửa đổi, xóa hoặc trích xuất thông tin nhạy cảm được lưu trữ trong máy.

Nhà nghiên cứu bảo mật Kevin Beaumont đã thử nghiệm và xác nhận mã khai thác có thể hoạt động trên Windows 10 20H2 và Windows 11; bản vá mà Microsoft phát hành không khắc phục được hoàn toàn lỗ hổng.

Naceri lưu ý rằng biến thể mới nhất của CVE-2021-41379 nghiêm trọng hơn so với phiên bản gốc và cách tốt nhất là đợi Microsoft phát hành bản vá bảo mật mới để khắc phục vấn đề này.

Hiện chưa có thông tin về bản vá của Microsoft cũng như chi tiết của lỗ hổng.

Nguồn: thehackernews.com