Scoperta una grave vulnerablità in Windows Installer

Una nuova vulnerabilità permette di ottenere privilegi elevati utilizzando Windows Installer

Avatar di Rodrigo Boschi

a cura di Rodrigo Boschi

Una nuova vulnerabilità zero day è stata scoperta in una parte importante di Windows, scoperta dal ricercatore Abdelhamid Naceri e pubblicata su Github, la vulnerabilità colpisce Microsoft Windows Installer e permette di ottenere i privilegi da utente “SYSTEM”, il più elevato disponibile nei sistemi operativi Microsoft.

Secondo il ricercatore questo exploit è in grado di attaccare tutte le versioni di Windows incluso il nuovo Windows 11 e Windows Server 2022 con installati tutti gli aggiornamenti di sicurezza possibili.

Microsoft, con l’aiuto di Naceri stesso, è corsa ai ripari per mitigare il problema noto come CVE-2021-41379 con il Patch Tuesday di novembre, ma i provvedimenti presi non hanno risolto il problema: l’exploit funziona ancora, anche dopo aver installato gli aggiornamenti correttivi.

Tecnicamente, l’exploit di Naceri utilizza il “discretionary access control list“ (DACL) utilizzato dal browser Microsoft Edge permettendo di rimpiazzare ogni file eseguibile nel PC sotto attacco con un pacchetto .msi ( microsoft installer ) e utilizzarlo per poi eseguire codice con privilegi elevati.

I colleghi di Bleeping Computer hanno messo alla prova l’exploit, riuscendo a eseguire un prompt dei comandi con privilegi di livello “SYSTEM” partendo da un account utente standard.

La compagnia di cybersecurity Cisco Talos, tramite un comunicato, fa sapere che questa vulnerabilità è già stata utilizzata da alcuni malware pensati per affinare e testare l’exploit, al fine si utilizzarlo in attacchi su larga scala.

Naceri ha anche aggiunto che cercando di superare i Fix introdotti dalla patch CVE-2021-41379, ha individuato un'ulteriore possibile vulnerabilità, che attiva un comportamento unico e insolito del servizio Windows Installer che permetterebbe (anche in questo caso) di elevare i privilegi di un utente in maniera non legittima. Naceri non divulgherà ulteriori dettagli su questo secondo metodo finché Microsoft non avrà risolto completamente la vulnerabilità CVE-2021-41379 .

Il portavoce Microsoft dichiara che l’azienda è a conoscenza del problema e sta prendendo tutti i provvedimenti necessari per tenere i suoi clienti al sicuro, puntualizzando il fatto che l’attacco richiede accesso locale alla macchina.

Prima della diffusione in rete di alcuni malware che fanno leva su questa vulnerabilità Microsoft aveva classificato CVE-2021-41379 come rischio medio, ora che questi malware sono stati individuati e riconosciuti Microsoft dovrà necessariamente alzare il livello di attenzione e diffondere velocemente degli aggiornamenti risolutivi.