Aanvallers richten zich actief op Windows Installer Zero-Day

Indien misbruikt, geeft de POC, genaamd InstallerFileTakeOver, een actor beheerdersrechten in Windows 10, Windows 11 en Windows Server wanneer ingelogd op een Windows-machine waarop Edge is geïnstalleerd.

Peer Research bevestigt misbruik en actieve aanvallen

Onderzoekers van Cisco Talos Security Intelligence and Research Group en anderen hebben bevestigd dat de POC kan worden gereproduceerd en dat ze het bewijs bevestigen dat bedreigingsactoren de bug al misbruikten.

“Deze kwetsbaarheid treft elke versie van Microsoft Windows, inclusief volledig gepatchte Windows 11 en Server 2022”, aldus een bericht op de Cisco Talos-blog van

Jaeson Schultz, technisch leider voor Cisco Talos. “Talos heeft in het wild al malware-samples gedetecteerd die proberen te profiteren van deze kwetsbaarheid.”

Andere onderzoekers bevestigden ook op Twitter dat de POC functioneert zoals geadverteerd om lokale privilege-escalatie te leveren.

“Kan bevestigen dat dit werkt, lokale priv esc”, tweette beveiligingsonderzoeker Kevin Beaumont, die zei dat hij het had getest op Windows 10 20H2 en Windows 11. “De eerdere patch die MS had uitgegeven, loste het probleem niet goed op.”

Ontdekking en meer details

Zoals beschreven door Microsoft, is CVE-2021-41379 een beveiligingslek met betrekking tot misbruik van bevoegdheden door Windows Installer met een lage beoordeling op het Common Vulnerability Scoring System.

“Een aanvaller zou alleen gerichte bestanden op een systeem kunnen verwijderen”, aldus Microsoft’s opmerkingen over de fout. “Ze zouden geen privileges krijgen om de inhoud van bestanden te bekijken of te wijzigen.”

De patch van Microsoft voor de bug loste het beveiligingslek echter niet correct op, waardoor Naceri het tijdens zijn analyse van de patch kon omzeilen, zei hij in zijn GitHub-bericht van de POC.

Die bypass was echter klein in vergelijking met een variant van CVE-2021-41379 die hij tijdens zijn onderzoek ontdekte en die “krachtiger is dan de originele”, en daarom koos Naceri ervoor om in plaats daarvan een POC van die fout te publiceren, schreef hij .

De code die Naceri heeft vrijgegeven, maakt gebruik van de discretionaire toegangsbeheerlijst (DACL) voor Microsoft Edge Elevation Service om elk uitvoerbaar bestand op het systeem te vervangen door een MSI-bestand, waardoor een aanvaller code kan uitvoeren als beheerder, legde Schultz van Cisco Talos in zijn bericht uit.

Wacht op de patch

De bijbehorende POC werkt in elke ondersteunende Windows-installatie, inclusief Windows 11 en Server 2022 met de patch van november 2021, evenals in serverinstallaties, schreef Naceri.

“Hoewel het groepsbeleid standaard niet toestaat dat standaardgebruikers MSI-bewerkingen uitvoeren, lijkt de administratieve installatiefunctie het groepsbeleid volledig te omzeilen”, schreef hij.

Vanwege de “complexiteit” van de kwetsbaarheid, zei Naceri dat de beste oplossing die momenteel beschikbaar is voor de fout “is om te wachten met Microsoft om een ​​beveiligingspatch uit te brengen.

“Elke poging om het binaire bestand rechtstreeks te patchen, zal het Windows-installatieprogramma breken”, schreef hij, eraan toevoegend dat de getroffenen “moeten afwachten hoe Microsoft de patch opnieuw zal schroeven” voordat ze enige mitigerende actie ondernemen.

Een Microsoft-woordvoerder vertelde BleepingComputer dat het bedrijf op de hoogte is van de onthulling van Naceri en “zal doen wat nodig is” om klanten “veilig en beschermd” te houden, volgens een gepubliceerd rapport.

“Een aanvaller die de beschreven methoden gebruikt, moet al toegang hebben tot en de mogelijkheid hebben om code uit te voeren op de computer van een doelwit”, aldus de woordvoerder.

Kop 1

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

Een dreigingsactor maakt misbruik van een zero-day-kwetsbaarheid in FatPipe’s virtual private network (VPN)-apparaten als een manier om bedrijven te hacken en…
Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Een door de staat gesteunde Iraanse dreigingsactor maakt gebruik van meerdere CVE’s – waaronder al maanden ernstige Fortinet-kwetsbaarheden en wekenlang een…
6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

Sky, een Britse breedbandprovider, liet de onderbuik van ongeveer 6 miljoen klanten bloot aan aanvallers die hun tanden op afstand in…