有时,恶意代码落入网络犯罪分子手中的方式让业内人士感到沮丧,而外部人士则无法理解。

此漏洞历史事件的简要总结:

  • 一名研究人员在Windows安装程序中发现了一个漏洞,该漏洞允许攻击者以更高的权限删除受影响系统上的目标文件。
  • 微软在11月的周二补丁更新中修补了该漏洞。
  • 这名研究人员找到了一种绕过补丁的方法,这一次他决定不进行负责任的披露,因为他对微软的漏洞赏金计划感到失望。
  • 研究人员的PoC正在野外测试,网络犯罪分子可能正在准备利用这个漏洞进行第一次真正的攻击。

让我们来看看发生了什么,以及它是如何发展到这一步的。

该漏洞

公开披露的计算机安全漏洞被列在常见漏洞和暴露(CVE)数据库中。它的目标是在不同的漏洞功能(工具、数据库和服务)之间更容易共享数据。

该漏洞被列为cve - 2021 - 41379是本地Windows安装程序特权提升(EoP)漏洞。如果被成功利用,攻击者可以在运行最新Windows版本(包括Windows 10、Windows 11和Windows Server 2022)的最新设备上获得SYSTEM特权。

通过利用这个零日,威胁行为者可以提高他们的特权,并使用这些特权在目标网络中横向传播。

补丁

微软修补了该漏洞11月补丁周二更新.但据研究人员称,这个漏洞没有被正确修复。他在分析CVE-2021-41379补丁时发现了一个新的变种。

使用新的变种,攻击者将能够以比他们有权拥有的更高的特权运行程序。需要明确的是,使用新变体的攻击者必须已经拥有在目标受害者的机器上运行代码的访问权限和能力,但现在他们可以使用SYSTEM特权运行代码。

沮丧

这名研究人员似乎对微软非常失望,因为他负责任地通过趋势科技零日计划当他发现了绕过补丁的新方法时,他决定完全跳过这条路。研究人员发布了一个新版本的概念证明(PoC)漏洞,该漏洞比原来的漏洞更强大。

显然,他受挫的主要原因是奖励级别。

“自2020年4月以来,微软的奖金一直很糟糕;如果微软认真对待奖励,社区就不会做出这样的决定。”

在野外

一些安全供应商已经注意到,有恶意软件样本试图利用这一漏洞。在VirusTotal上快速搜索可以看到几十个不同的文件试图做到这一点。这可能是一些威胁行为者在测试利用代码,以将其转化为可以用于攻击的东西,同时一些研究人员正在尝试不同的方法来使用和阻止利用。然而,再次看到攻击者能够如此迅速地将公开可用的利用代码武器化是令人担忧的。

缓解

由于这一漏洞的复杂性,研究人员建议用户等待微软发布安全补丁,尽管他似乎不相信微软这次能做好。

“任何直接修补二进制文件的尝试都会破坏windows安装程序。所以你最好等着看微软会如何再次搞砸这个补丁。”

微软表示正在努力解决这个问题。与此同时,Malwarebytes必威平台APP Premium和业务用户受到保护,因为我们的程序检测使用此漏洞作为Exploit.Agent的文件。

剥削的侦测
必威平台APPMalwarebytes检测并停止攻击

大家注意安全!