Individuata una nuova vulnerabilità zero-day che consente di ottenere i privilegi di amministratore su ogni installazione di Windows di supporto, compreso Windows 10, Windows 11 e Windows Server.
La vulnerabilità è stata segnalata dal ricercatore di sicurezza Abdelhamid Naceri che analizzando la patch distribuita da Microsoft nella tornata di novembre di aggiornamenti per il suo sistema operativo si è accorto che la correzione della vulnerabilità CVE-2021-41379 può essere aggirata.
Il ricercatore, nel corso dell’analisi, ha scoperto un’altra vulnerabilità, battezzata con il nome di InstallerFileTakeOver, che consente di elevare i privilegi dell’utente e avviare l’installazione di un malware e che si è mostrata più grave rispetto alla falla di sicurezza che il ricercatore stava studiando.
“Questa variante è stata scoperta durante l’analisi della patch CVE-2021-41379. Il bug non è stato corretto correttamente, tuttavia, invece di far cadere il bypass, ho scelto di eliminare effettivamente questa variante in quanto è più potente di quella originale”.
Il Proof of Concept (PoC) pubblicato da Naceri è stato verificato anche dai ricercatori di Cisco Talos, che ne hanno confermato la replicabilità, così come il fatto che l’exploit viene già utilizzato dai pirati informatici per attaccare i sistemi Windows.
Nello specifico, il problema riguarderebbe la funzionalità di installazione con privilegi di amministratore, che permetterebbe di aggirare le restrizioni a livello di policy di gruppo che normalmente impediscono operazioni MSI.
Secondo il ricercatore, la complessità della vulnerabilità rende impossibile qualsiasi tipo di intervento (workkaround) che permette di mitigare il rischio di un attacco e l’unica soluzione per gli utenti è quella di aspettare che Microsoft rilasci un aggiornamento.