Onderzoeker Abdelhamid Naceri, die deze keer vaak rapporteert over Windows-bugs, liet een werkende proof-of-concept exploit voor beheerdersrechten zero-day op GitHub vallen. Volgens Naceri werkt het op alle ondersteunde versies van Windows. Deze specifieke nuldag kan een potentiële slechte acteur in staat stellen een opdrachtprompt te openen met SYSTEEM-rechten van een account met alleen 'Standaard’ privileges. Hiermee kunnen ze gemakkelijk hun privileges verhogen en vervolgens verspreiden binnen het netwerk. De nuldag is van invloed op alle ondersteunde versies van Windows, inclusief Windows 10, ramen 11, en Windows Server 2022.
Nieuwe Microsoft-bug zorgt voor beheerdersrechten in alle ondersteunde Windows-versies
“We zijn op de hoogte van de onthulling en zullen doen wat nodig is om onze klanten veilig en beschermd te houden. Een aanvaller die de beschreven methoden gebruikt, moet al toegang hebben tot en de mogelijkheid hebben om code uit te voeren op de computer van een doelwit victim,” een Microsoft-woordvoerder zei in een verklaring.
De beheerdersrechten zero day werden ontdekt door Naceri toen hij de CVE-2021-41379-patch aan het analyseren was. Microsoft heeft het beveiligingslek eerder verholpen, maar het bleek niet helemaal te zijn. De onderzoeker onderzocht het daarna en vond een bypass samen met nieuwe beheerdersrechten zero day. Hij besloot toen in plaats van de bypass te laten vallen om de nieuw ontdekte kwetsbaarheid te kiezen. Hij beweerde dat het krachtiger was dan degene die niet volledig gefixeerd was.
Veel onderzoeken houden niet van de nieuwe bug bounty-voorwaarden van Microsoft
En de reden om het openbaar te maken ligt in onderzoekers’ teleurstelling over Microsoft's bug bounty-programma. Hij klaagt dat sinds april 2020 Microsoft-premies zijn weggegooid. En dat hij dat echt niet zou doen als MSFT niet de beslissing zou nemen om die premies te verlagen. Het lijkt erop dat andere onderzoekers de nieuwe voorwaarden van het premieprogramma van Microsoft ook niet leuk vinden.
DOE VOORZICHTIG! Microsoft zal uw premie op elk moment verlagen! Dit is een Hyper-V RCE-kwetsbaarheid die kan worden geactiveerd vanaf een gastmachine, maar het komt gewoon in aanmerking voor een $5000.00 bounty-award onder het Windows Insider Preview Bounty-programma. oneerlijk! @msftsecresponse
@msftsecurity pic.twitter.com/sJw3cjsliF— rhhh (@rthhh17) november 9, 2021
https://twitter.com/MalwareTechBlog/status/1287848085243060224?ref_src=twsrc^tfw|twcamp^tweetembed|twterm^1287848085243060224|twgr^|twcon^s1_&ref_url=https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-laat-je-een-admin-worden/
Hoogstwaarschijnlijk zal Microsoft de patch voor deze beheerdersrechten zero day vrijgeven in de volgende Patch Tuesday-update. Voor die externe patchbedrijven die proberen het beveiligingslek te verhelpen door te proberen het binaire bestand te patchen, heeft Naceri waarschuwingen dat het het installatieprogramma kan breken. Hij denkt dat vanwege de complexiteit van deze kwetsbaarheid de beste oplossing hier is om te wachten tot Microsoft een beveiligingspatch uitbrengt.
Met betrekking tot deze nuldag melden de Cisco Talos-onderzoekers dat bedreigingsactoren al zijn begonnen deze kwetsbaarheid te misbruiken. De onderzoekers waren in staat om verschillende malware-samples te identificeren die al probeerden gebruik te maken van de exploit. Hoewel ze zeggen dat het volume laag is en het betekent dat slechte acteurs gewoon proberen te werken met de proof of concept-code of deze testen voor toekomstige campagnes.
Voor het geval je het nieuws hebt gemist, zullen we hier enkele fragmenten ervan toevoegen. in augustus 2021 Microsoft's Azure leed enorm DDoS-aanval dat piekte op 2,4 Tbps. Het bedrijf heeft echter niet de identiteit van de aangevallen klant bekendgemaakt die de aanval met succes heeft doorstaan. Microsoft voegde in een vervolgverklaring ook toe dat het aanvalsverkeer ongeveer afkomstig was van: 70,000 bronnen en uit meerdere landen in de regio Azië-Pacific, zoals Maleisië, Japan, Taiwan, Vietnam en China, evenals uit de Verenigde Staten.
