NewsSicurezza

I ricercatori di Cisco Talos hanno scoperto un grave bug in Microsoft Windows Installer

l difetto può essere sfruttato per concedere a un utente malintenzionato i diritti di amministratore su un sistema compromesso

Cisco Talos, ha reso noto un grave bug che consente di acquisire privilegi “superiori” nel programma Windows Installer di Microsoft, che pare già sia stata utilizzata da alcuni hacker tramite un nuovo malware che si sta “affacciando” prepotentemente tra quelli più pericolosi in circolazione. Microsoft aveva già rilasciato una patch (CVE-2021-41379), per correggere una vulnerabilità relativa all’acquisizione di privilegi più elevati nel componente Windows Installer per la distribuzione di applicazioni aziendali. Questo bug ha ricevuto una valutazione “importante” e un punteggio di gravità di 5,5 su 10.

Secondo i ricercatori di Cisto Talos, quando è stata rilevata questa falla, pare che non venisse sfruttata attivamente dai pirati informatici, cosa che al contrario sta avvenendo ora. E Cisco riferisce che il bug può essere sfruttato anche su sistemi che hanno installato la patch di novembre, e concedere a un attaccante privilegi a livello di amministratore.

Questa vulnerabilità consente a un utente malintenzionato con un account utente limitato di elevare i propri privilegi per diventare amministratore”spiega Jaeson Schultz di Cisco Talos .

Questa dichiarazione di Cisco Talos contraddice la valutazione di Microsoft secondo cui un utente malintenzionato potrebbe eliminare solo i file mirati da un sistema e non otterrebbe i privilegi necessari per visualizzare o modificare il contenuto di tali file.

Il bug scoperto in Windows Installer interessa tutte e le versioni del sistema operativo di Microsoft

“Questa vulnerabilità interessa tutte le versioni di Microsoft Windows, comprese le versioni completamente patchate di Windows 11 e Server 2022“. I ricercatori di Cisco Talos hanno già rilevato malware in campioni che tentano di sfruttare questa vulnerabilità. 

Abdelhamid Naceri, il ricercatore che ha segnalato il difetto CVE-2021-41379 a Microsoft, ha testato i sistemi con patch e ha pubblicato il codice exploit proof of concept su GitHub il 22 novembre , dimostrando che funziona nonostante le patch di Microsoft, anche sulle versioni Windows Server interessate, incluso Windows Server 2022.

“Il codice pubblicato da Abdelhamid Naceri sfrutta l’Access Control List (DACL) per Microsoft Edge Elevation Service per sostituire qualsiasi file eseguibile sul sistema con un file MSI, che consentirebbe a un utente malintenzionato di eseguire codice come amministratore”, scrive Jaeson Schultz di Cisco. Questa prova funzionale del codice exploit del concetto porterà sicuramente a ulteriori sfruttamenti di questa vulnerabilità”.
Secondo Abdelhamid Naceri non esiste, al momento, una soluzione alternativa per correggere questo bug oltre a un’altra patch di Microsoft. “A causa della complessità di questa vulnerabilità, qualsiasi tentativo di correggere direttamente il file binario interromperà Windows Installer. Quindi è meglio aspettare e vedere come e se Microsoft rilascerà un’ulteriore patch “, avverte Abdelhamid Naceri. Dal canto suo Microsoft deve ancora riconoscere il nuovo proof of concept di Abdelhamid Naceri e non ha ancora annunciato una nuova patch per questa vulnerabilità.

Da non perdere questa settimana su Techbusiness

 

📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano
💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨‍⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!

Autore

  • Danilo Loda

    100% "milanes", da una vita scrivo di bit e byte e di quanto inizia con on e finisce con off. MI piace tutto quello che fa rumore, meglio se con un motore a scoppio. Amo viaggiare (senza google Maps) lo sport, soprattutto se è colorato di neroazzuro.

    Visualizza tutti gli articoli

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button