Kötü amaçlı yazılım oluşturucular, güvenlik araştırmacısı Abdelhamid Naceri tarafından hafta sonu kamuya açıklanan yeni bir Microsoft Windows Installer sıfır gününü hedefleyen bir kavram kanıtı istismarını test etmek için zaten başladı.
“Talos, vahşi doğada bu güvenlik açığından yararlanmaya çalışan kötü amaçlı yazılım örnekleri tespit etti.” Söyledi Jaeson Schultz, Cisco’nun Talos Güvenlik İstihbaratı ve Araştırma Grubu Teknik Lideri.
Bununla birlikte, Cisco Talos’un Sosyal Yardım Başkanı Nick Biasini’nin BleepingComputer’a söylediği gibi, bu sömürü girişimleri büyük olasılıkla tam gelişmiş kampanyalar için istismarları test etmeye ve ayarlamaya odaklanan düşük hacimli saldırıların bir parçasıdır.
Biasini BleepingComputer’a verdiği demeçte, “Soruşturmamız sırasında, son kötü amaçlı yazılım örneklerine baktık ve zaten istismardan yararlanmaya çalışan birkaçını tespit edebildik.” dedi.
“Hacim düşük olduğundan, bu büyük olasılıkla kavram kodu kanıtıyla çalışan veya gelecekteki kampanyalar için test eden kişilerdir. Bu, rakiplerin kamuya açık bir istismarı silahlandırmak için ne kadar hızlı çalıştıklarına dair daha fazla kanıttır.”
Windows Installer düzeltme ekini sıfır gün atlar
Söz konusu güvenlik açığı, Microsoft’un Kasım 2021’in Düzeltme Eki Salı günü sırasında izlenen bir kusuru gidermek için yayınladığı bir düzeltme ekine atlama olarak bulunan yerel bir ayrıcalık yükselmesi hatasıdır. CVE-2021-41379.
Pazar günü, Naceri bir kavram kanıtı istismarı bu yeni sıfır gün için, Windows’un tüm desteklenen sürümlerinde çalıştığını söylüyor.
Başarıyla yararlanılırsa, bu atlama saldırganlara en son Windows sürümlerini çalıştıran güncel cihazlarda SYSTEM ayrıcalıkları verir, Windows 10, Windows 11 ve Windows Server 2022 dahil.
SYSTEM ayrıcalıkları, bir Windows kullanıcısı için kullanılabilen en yüksek kullanıcı haklarıdır ve herhangi bir işletim sistemi komutunu gerçekleştirmeyi mümkün kılabilir.
Bu sıfır günden yararlanarak, güvenliği ihlal edilmiş sistemlere sınırlı erişime sahip saldırganlar, bir kurbanın ağında yanal olarak yayılmasına yardımcı olmak için ayrıcalıklarını kolayca yükseltebilir.
BleepingComputer, Naceri’nin istismarını test etti ve bunu düşük düzeyli ‘Standart’ ayrıcalıklara sahip bir hesaptan SYSTEM izinleriyle bir komut istemini başarıyla açmak için kullandı.
Naceri, “Bunu yazarken mevcut olan en iyi geçici çözüm, bu güvenlik açığının karmaşıklığı nedeniyle Microsoft’un bir güvenlik düzeltme eki yayınlamasını beklemektir.” dedi.
“İkiliye doğrudan düzeltme eki uygulama girişimi Windows Installer’ı kırar. Bu yüzden Microsoft’un düzeltme ekini tekrar nasıl becereceğini bekleyip görseniz iyi olur.”
“Açıklamanın farkındayız ve müşterilerimizi güvende ve güvende tutmak için ne gerekiyorsa yapacağız. Açıklanan yöntemleri kullanan bir saldırganın zaten erişimi ve hedef kurbanın makinesinde kod çalıştırma yeteneği olmalıdır.” dedi.