A Microsoft Windows Installer kódjában egy nulladik napi sebezhetőséget találtak, amellyel kapcsolatban az a legnagyobb probléma, hogy a kártékony kódok készítői már támadják is, igaz, egyelőre még csak tesztelési jelleggel, hogy lássák, milyen potenciál rejlik benne. A sebezhetőségre, amely a CVE-2021-41379-es jelölést viseli, elsőként egy biztonságtechnikai kutató, Abdelhamid Naceri hívta fel a figyelmet egy Github bejegyzés keretén belül, ám mielőtt ezt a posztot elkészítette volna, természetesen a Microsoft fejlesztőcsapatával is felvette a kapcsolatot, hogy legyen idő a javítására.

A nulladik napi sebezhetőséggel kapcsolatban a legnagyobb probléma az, hogy látszólag eléggé könnyen ki lehet aknázni a benne rejlő lehetőségeket, plusz a legfrissebb Windows kiadások is támadhatóak általa (Windows 11 és Windows Server 2022), még akkor is, ha minden frissítést megkaptak – azt is, ami éppen ellene védene. Mert a Microsoft a novemberi Patch Tuesday alkalmával már kiadott egy javítást, ami ezt a nulladik napi sebezhetőséget veszi célba, ám a friss tesztek szerint továbbra sem sikerült elhárítani a veszélyt.

Hogy miről is van szó? Dióhéjban arról, hogy a sebezhetőségen keresztül egy alacsony, felhasználói jogkörrel rendelkező fiók használata mellett is elérhető a lehető legmagasabb, SYSTEM szintű jogkör, onnantól pedig azt tesz a rendszerrel a támadó, amit csak szeretne. A háttérben az áll, hogy a Microsoft Edge Elevation Service névre keresztelt szolgáltatásán keresztül, a DACL listát használva el tudja érni a támadó, hogy a rendszeren található bármely futtatható fájlt lecserélje egy MSI, azaz telepítő fájlra, a kódot pedig adminisztrátori jogkörrel futtathatja.

A BleepingComputer munkatársai már tesztelték is Naceri példakódját, a folyamat során pedig sikeresen tudtak megnyitni egy SYSTEM jogkörrel rendelkező parancssort egy olyan rendszeren, ami normál felhasználói szintű jogosultsággal rendelkező felhasználói fiókot használt.

Naceri szerint a példakód extrém módon megbízható és igazából semmi extra nem kell hozzá, hogy működjön, gyakorlatilag minden próbálkozást siker koronázhat. A hibára kiadott javítást is tesztelte a biztonságtechnikai szakember, ennek során pedig azt tapasztalta, hogy legalább két módszerrel támadható a rendszer továbbra is: az egyik az, amit fentebb már említettünk, míg a másik hasonló eredményeket érel, de picit más módszerrel. Utóbbiról addig nem árul el részleteket, míg a ténylegesen működő frissítés meg nem érkezik.

A Cisco Talos részlege szerint a sebezhetőség köré már több malware is épül, amelyekkel készítőik éppen egy nagyobb támadássorozatra készülhetnek, ugyanis az aktuális kódokkal tesztelik a lehetőségeket és finomhangolják a támadási formákat.

A Microsoft szóvivője elismerte, létezik a sebezhetőség és megtesznek ellene mindent annak érdekében, hogy vásárlóik biztonságban lehessenek és védelmet élvezzenek. Kiemelte, hogy a támadónak a siker érdekében eleve hozzá kell férnie az adott rendszerhez, csak úgy tud kártékony kódot futtatni. Ahogy a tesztek mutatták, egy normál felhasználói jogkörrel rendelkező fiókhoz is elég hozzáférni.

A sebezhetőség esetében 5,5 pontot mutat a CVSS lista, vagyis közepes veszélyről van szó, ám az a tény, hogy a hibát már több működő malware is képes kiaknázni, magasabb szintre emeli a veszélyt, ami valószínűleg arra ösztönzi majd a Microsoft fejlesztőit, hogy minél előbb készítsenek valóban működő javítást erre a hibára. Az egyelőre nem derül ki, hogy a patch mikor érkezik meg, de ha elkészül, beszámolunk róla.