Web Bleeping Computer informuje o vydání neoficiální záplaty, jež opravuje aktivně zneužívanou „zero-day“ zranitelnost. Problém se týká všech verzí systému Windows, včetně nejnovějších Windows 11 a Windows Server 2022. Útočníci mohou trhlinu zneužít k eskalaci oprávnění a spuštění kódu s právy správce.
Zranitelnost objevil bezpečnostní expert Abdelhamid Naceri při analýze záplaty pro jinou chybu umožňující zvýšení oprávnění, kterou nahlásil Microsoftu a nyní je evidována jako CVE-2021-41379. Následně zveřejnil takzvaný „důkaz konceptu“ („proof-of-concept“), jež ukazuje možnost praktického zneužití této chyby. Prokázal tak, že oprava je neúplná a ponechává prostor pro zneužití.
Díra v systému
Naceri uvedl, že vydal exploit pro tento nevyřešený problém, aniž by o svých zjištěních informoval Microsoft. K tomuto přístupu ho vedla předchozí zkušenost s nahlášením zmíněné zranitelnosti CVE-2021-41379 a dalších bezpečnostních trhlin, za což si dle svého názoru zasloužil více než pouhé „poděkování“.
Dokud Microsoft neuvede opravu tohoto problému, mají útočníci k dispozici novou metodu, jak zvýšit oprávnění na napadeném počítači se systémem Windows. Kyberbezpečnostní firma Cisco Talos v listopadu varovala, že útočníci již aktivně používají malware, který se snaží zneužít bezpečnostní díru objevenou Nacerim.
„Kód zveřejněný Nacerim využívá Oddělený seznam řízení přístupu (Discretionary Access Control List; DACL) pro službu Microsoft Edge Elevation Service k nahrazení jakéhokoli spustitelného souboru v systému souborem MSI, což útočníkovi dovoluje spustit kód jako správce,“ uvádí Cisco Talos.
Neoficiální záplata
Mitja Kolsek, spoluzakladatel služby 0Patch, která vydává opravy, jež nevyžadují restart systému, vysvětluje, že problém pramení ze způsobu, jakým instalátor systému Windows vytváří soubor Rollback File (.RBF), který umožňuje obnovu dat odstraněných nebo změněných během instalačního procesu.
V určitém okamžiku systém Windows změní umístění souboru RBF z Config.msi do dočasné složky a změní jeho oprávnění tak, aby umožnil uživateli přístup k zápisu. „Abdelhamid si všiml, že na místo vstupního souboru RBF lze vytvořit symbolický odkaz, což povede k přesunu souboru RBF z C:\Windows\Installer\Config.msi do jiného souboru v systému, který si uživatel zvolí,“ vysvětlil Kolsek.
Řešení od 0Patch kontroluje, zda v cílové cestě souboru RBF nejsou žádné odkazy; v opačném případě zablokuje přesun souboru, aby se eliminovalo riziko zneužití. Záplata je k dispozici zdarma a funguje v systémech Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019. V následujícím videu můžete vidět, jak funguje v praxi.
Je třeba poznamenat, že opravný kód od 0Patch je pouze dočasným řešením, jehož cílem je zajistit bezpečnost systémů do doby, než Microsoft vydá oficiální záplatu, což se zatím nestalo. Prozatím je tato dočasná oprava nejlepší obranou. Aplikuje se za běhu systému a nevyžaduje restartování počítače.
