Der Forscher Abdelhamid Naceri, der diesmal häufig über Windows-Fehler berichtet, hat einen funktionierenden Proof-of-Concept-Exploit für Admin-Rechte Zero-Day auf GitHub veröffentlicht. Laut Naceri wird es auf allen unterstützten Windows-Versionen funktionieren. Dieser besondere Zero Day kann es einem potenziellen bösen Akteur ermöglichen, eine Eingabeaufforderung mit SYSTEM-Berechtigungen von einem Konto mit nur niedrigem "Standard" zu öffnen’ Privilegien. Es ermöglicht ihnen, ihre Privilegien einfach zu erhöhen und sich als nächstes innerhalb des Netzwerks zu verbreiten. Der Zero Day betrifft alle unterstützten Versionen von Windows, einschließlich Windows 10, Windows 11, und Windows Server 2022.
Neuer Microsoft-Bug ermöglicht Administratorrechte in allen unterstützten Windows-Versionen
„Wir sind uns der Offenlegung bewusst und werden alles Notwendige tun, um unsere Kunden zu schützen und zu schützen. Ein Angreifer, der die beschriebenen Methoden verwendet, muss bereits Zugriff und die Fähigkeit haben, Code auf dem Computer des Zielopfers auszuführen,“ ein Microsoft-Sprecher sagte in einer Erklärung.
Die Admin-Privilegien Zero Day wurden von Naceri entdeckt, als er den CVE-2021-41379-Patch analysiert hatte. Microsoft hat die Sicherheitslücke zuvor behoben, aber es stellte sich heraus, dass sie nicht vollständig war. Der Forscher untersuchte es anschließend und fand eine Umgehung zusammen mit neuen Admin-Rechten Zero Day. Er entschied sich dann, anstatt den Bypass zu verwerfen, die neu entdeckte Schwachstelle zu wählen. Er argumentierte, dass es stärker war als das, das nicht vollständig repariert wurde.
Viele Forscher mögen die neuen Bug-Bounty-Bedingungen von Microsoft nicht
Und der Grund für die Veröffentlichung liegt bei den Forschern’ Enttäuschung über Microsofts Bug-Bounty-Programm. Er beschwert sich, dass seit April 2020 Microsoft-Kopfgelder wurden vernichtet. Und dass er das wirklich nicht tun würde, wenn MSFT nicht die Entscheidung treffen würde, diese Kopfgelder herabzustufen. Es scheint, als ob auch anderen Forschern die neuen Bedingungen des Kopfgeldprogramms von Microsoft nicht gefallen.
VORSICHTIG SEIN! Microsoft wird Ihr Kopfgeld jederzeit reduzieren! Dies ist eine Hyper-V RCE-Schwachstelle, die von einem Gastcomputer ausgelöst werden kann, aber es ist nur berechtigt für a $5000.00 Prämie im Rahmen des Windows Insider Preview-Bounty-Programms. Unfair! @msftsecresponse
@msftsecurity pic.twitter.com/sJw3cjsliF— rthhh (@rthhh17) November 9, 2021
https://twitter.com/MalwareTechBlog/status/1287848085243060224?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1287848085243060224%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.bleepingcomputer.com%2Fnews%2Fmicrosoft%2Fnew-windows-zero-day-with-public-exploit-lets-you-become-an-admin%2F
Höchstwahrscheinlich wird Microsoft den Patch für diese Admin-Rechte Zero Day im nächsten Patch Tuesday-Update veröffentlichen. Für die Patching-Firmen von Drittanbietern, die versuchen, die Schwachstelle zu beheben, indem sie versuchen, die Binärdatei zu patchen, hat Naceri Warnungen, dass das Installationsprogramm beschädigt werden könnte. Er ist der Meinung, dass aufgrund der Komplexität dieser Schwachstelle hier die beste Lösung darin besteht, auf die Veröffentlichung eines Sicherheitspatches von Microsoft zu warten.
In Bezug auf diesen Zero Day berichten die Cisco Talos-Forscher, dass Bedrohungsakteure bereits begonnen haben, diese Schwachstelle auszunutzen. Die Forscher konnten mehrere Malware-Beispiele identifizieren, die bereits versuchten, den Exploit auszunutzen. Obwohl sie sagen, dass das Volumen gering ist und es bedeutet, dass schlechte Akteure einfach versuchen, mit dem Proof-of-Concept-Code zu arbeiten oder ihn für zukünftige Kampagnen zu testen.
Falls Sie die News verpasst haben, werden wir hier einige Auszüge davon hinzufügen. im August 2021 Microsofts Azure litt einen enormen DDoS-Angriff das bei 2,4 Tbit/s seinen Höhepunkt erreichte. Das Unternehmen hat jedoch nicht die Identität des angegriffenen Kunden preisgegeben, der dem Ansturm erfolgreich standgehalten hat. Microsoft fügte in einer Folgeerklärung auch hinzu, dass der Angriffsverkehr ungefähr von 70,000 Quellen und aus mehreren Ländern im asiatisch-pazifischen Raum, wie Malaysia, Japan, Taiwan, Vietnam und China, sowie aus den USA.
