Bezpečnostní oddělení společnosti Cisco publikovalo informaci o „zero day“ zranitelnosti nalezené v instalační službě systému Windows (Windows Installer). Chyba byla odhalena při kontrole nefunkční opravy a týká se operačních systémů Windows Server, Windows 10 a Windows 11.
Skupina Cisco Talos Security Intelligence & Research Group potvrdila práci Abdelhamida Naceriho, který chybu našel. Microsoft považoval chybu, evidovanou pod označením CVE-2021-41379, za hrozbu nízké úrovně (uváděné skóre závažnosti bylo pouhých 5,5 z 10), protože neposkytovala uživatelům možnost eskalace oprávnění. Opravil ji v rámci listopadových záplat.
Chyba v instalační službě systému Windows
Naceri následně zjistil, že opravu je možné obejít a že chyba dokonce dovoluje eskalaci oprávnění, takže je nebezpečnější, než se původně zdálo. Vyvinul „důkaz konceptu“ („proof of concept“) nazvaný InstallerFileTakeOver, který byl následně otestován odborníky z Cisco Talos Security.
Dle bezpečnostních expertů „důkaz konceptu“ funguje a chyba opravdu existuje. Co je horší: útočníci již díru v instalátoru aktivně zneužívají. Cisco upozorňuje, že se zranitelnost týká všech podporovaných verzí systému Windows, včetně nejnovějších Windows 11.
Cisco Talos Security varuje, že útočníci mohou tuto chybu využít ke zneužití instalační služby systému Windows a nahradit jakýkoli spustitelný soubor vlastním – například malwarem. Bezpečnostní nedostatek lze zneužít i na systémech s listopadovými záplatami a útočník tak získá oprávnění na úrovni správce.
Aktivní zneužívání
„Kód zveřejněný Nacerim využívá Oddělený seznam řízení přístupu (Discretionary Access Control List; DACL) pro službu Microsoft Edge Elevation Service k nahrazení jakéhokoli spustitelného souboru v systému souborem MSI, což útočníkovi umožňuje spustit kód jako správce,“ napsal technický vedoucí Jaeson Schultz ze společnosti Cisco.
Dodal, že tento „funkční zkušební kód jistě povede k dalšímu zneužívání této zranitelnosti“. Naceri uvedl, že pro tuto chybu neexistuje jiné řešení než další záplata od společnosti Microsoft. Pro více než miliardu uživatelů Windows po celém světě je tedy poselství jasné: vydržte a čekejte na aktualizaci!
Microsoft uvádí, že o chybě ví, ale zatím nestanovil termín vydání její opravy. Zajímavostí je, že Naceri se rozhodl zveřejnit „důkaz konceptu“, protože Microsoft již nenabízí dostatečně vysoké odměny za nalezení a nahlášení takových chyb.
