Todas as versões do Windows estão em risco devido a uma terrível vulnerabilidade de dia zero depois que a Microsoft travou com sucesso corrigir uma falha semelhante, afirma um pesquisador de segurança cibernética.

O exploit recém-descoberto é atualmente uma prova de conceito, mas os pesquisadores acreditam que os testes e ajustes contínuos em pequena escala estão preparando o terreno para um ataque de maior alcance.

“Durante nossa investigação, analisamos amostras de malware recentes e fomos capazes de identificar vários [bad actors] eles já estavam tentando tirar vantagem da exploração “, disse Nic Biasini, chefe de alcance da Cisco Talos, BleepingComputer. “Como o volume é baixo, é provável que sejam pessoas trabalhando com código de prova de conceito ou testando para campanhas futuras.”

A vulnerabilidade tira proveito de um bug do Windows Installer (registrado como CVE-2021-41379) que a Microsoft afirma ter corrigido no início deste mês. Esta nova variante oferece aos usuários a capacidade de elevar os privilégios locais aos privilégios do SISTEMA, os direitos de usuário mais altos disponíveis no Windows. Uma vez instalados, os criadores de malware podem usar esses privilégios para substituir qualquer arquivo executável no sistema por um arquivo MSI para executar o código como administrador. Resumindo, eles podem assumir o controle do sistema.

No fim de semana, o pesquisador de segurança Abdelhamid Naceri, que descobriu a falha inicial, postado no Github um código de exploração de prova de conceito que funciona apesar do lançamento de patch da Microsoft. Pior ainda, Naceri acredita que esta nova versão é ainda mais perigosa porque contorna a política de grupo incluída na instalação administrativa do Windows.

“Esta variante foi descoberta durante o teste de patch CVE-2021-41379. No entanto, o erro não foi corrigido corretamente em vez de remover o bypass. Decidi remover essa variante porque ela é mais poderosa que a original ”, escreveu Naceri.

O BleepingComputer testou o exploit do Naceri e em “alguns segundos” o usou para abrir um prompt de comando com permissões SYSTEM de uma conta com privilégios “padrão”.

Embora você não deva se preocupar excessivamente no momento, esta vulnerabilidade pode colocar bilhões de sistemas em risco, caso se espalhe. Vale a pena reiterar que essa exploração concede aos invasores privilégios de administrador nas versões mais recentes do sistema operacional Windows, incluindo Windows 10 e Windows 11; estamos falando de mais de um bilhão de sistemas. No entanto, esse não é um exploit remoto, então os criminosos precisariam de acesso físico ao seu dispositivo para realizar o ataque.

A Microsoft rotulou a vulnerabilidade inicial como gravidade média, mas Jaeson Schultz, líder técnico do Talos Security Intelligence and Research Group da Cisco, destacou em um postagem do blog que a existência de um código de prova de conceito funcional significa que o tempo está se esgotando para a Microsoft lançar um patch que realmente funcione. Do jeito que está, não há conserto ou conserto para essa falha.

Naseri, que disse ao BleepingComputer que não notificou a Microsoft sobre a vulnerabilidade antes de abrir o capital como uma forma de solicitar pagamentos menores no programa de recompensa de bugs da Microsoft, desaconselha empresas terceirizadas que lançem seus próprios patches porque isso poderia quebrar o windows. instalador.

A Microsoft está ciente da vulnerabilidade, mas não forneceu um prazo para o lançamento de uma correção.

“Estamos cientes da divulgação e faremos o que for preciso para manter nossos clientes protegidos e protegidos. Um invasor usando os métodos descritos já deve ter acesso e a capacidade de executar código na máquina da vítima ”, disse a Microsoft ao BleepingComputer.

A empresa geralmente distribui patches na “terça-feira de patches” ou na segunda terça-feira de cada mês.

Atualização 2:00 AM ET: Atualizamos o título e o LED para especificar a fonte dessas alegações de falha de segurança cibernética (essa fonte é um pesquisador de segurança cibernética Abdelhamid Naceri) A Microsoft respondeu à história do Gizmodo esclarecendo que a empresa consertou a falha original. Naceri acredita A Microsoft não fez essa correção “corretamente”; Ele afirma ter encontrado um desvio para o patch. Ajustamos nosso título de acordo. Da Microsoft:

“[The] A vulnerabilidade divulgada é uma vulnerabilidade separada. É incorreto dizer que a Microsoft não corrigiu o CVE-2021-41379. “

A empresa não forneceu uma atualização sobre a nova variante que a Naceri revelou.