Cisco Talos, ha reso noto un grave bug che consente di acquisire privilegi “superiori” nel programma Windows Installer di Microsoft, che pare già sia stata utilizzata da alcuni hacker tramite un nuovo malware che si sta “affacciando” prepotentemente tra quelli più pericolosi in circolazione. Microsoft aveva già rilasciato una patch (CVE-2021-41379), per correggere una vulnerabilità relativa all’acquisizione di privilegi più elevati nel componente Windows Installer per la distribuzione di applicazioni aziendali. Questo bug ha ricevuto una valutazione “importante” e un punteggio di gravità di 5,5 su 10.
Secondo i ricercatori di Cisto Talos, quando è stata rilevata questa falla, pare che non venisse sfruttata attivamente dai pirati informatici, cosa che al contrario sta avvenendo ora. E Cisco riferisce che il bug può essere sfruttato anche su sistemi che hanno installato la patch di novembre, e concedere a un attaccante privilegi a livello di amministratore.
“Questa vulnerabilità consente a un utente malintenzionato con un account utente limitato di elevare i propri privilegi per diventare amministratore”, spiega Jaeson Schultz di Cisco Talos .
Questa dichiarazione di Cisco Talos contraddice la valutazione di Microsoft secondo cui un utente malintenzionato potrebbe eliminare solo i file mirati da un sistema e non otterrebbe i privilegi necessari per visualizzare o modificare il contenuto di tali file.
Il bug scoperto in Windows Installer interessa tutte e le versioni del sistema operativo di Microsoft
“Questa vulnerabilità interessa tutte le versioni di Microsoft Windows, comprese le versioni completamente patchate di Windows 11 e Server 2022“. I ricercatori di Cisco Talos hanno già rilevato malware in campioni che tentano di sfruttare questa vulnerabilità.
Abdelhamid Naceri, il ricercatore che ha segnalato il difetto CVE-2021-41379 a Microsoft, ha testato i sistemi con patch e ha pubblicato il codice exploit proof of concept su GitHub il 22 novembre , dimostrando che funziona nonostante le patch di Microsoft, anche sulle versioni Windows Server interessate, incluso Windows Server 2022.
“Il codice pubblicato da Abdelhamid Naceri sfrutta l’Access Control List (DACL) per Microsoft Edge Elevation Service per sostituire qualsiasi file eseguibile sul sistema con un file MSI, che consentirebbe a un utente malintenzionato di eseguire codice come amministratore”, scrive Jaeson Schultz di Cisco. Questa prova funzionale del codice exploit del concetto porterà sicuramente a ulteriori sfruttamenti di questa vulnerabilità”.
Secondo Abdelhamid Naceri non esiste, al momento, una soluzione alternativa per correggere questo bug oltre a un’altra patch di Microsoft. “A causa della complessità di questa vulnerabilità, qualsiasi tentativo di correggere direttamente il file binario interromperà Windows Installer. Quindi è meglio aspettare e vedere come e se Microsoft rilascerà un’ulteriore patch “, avverte Abdelhamid Naceri. Dal canto suo Microsoft deve ancora riconoscere il nuovo proof of concept di Abdelhamid Naceri e non ha ancora annunciato una nuova patch per questa vulnerabilità.