Beheer

Security
Windows

Zeroday in Windows Installer actief misbruikt

Beveiligingsonderzoeker deelde exploit uit onvrede over bugbounty-programma.

© Microsoft
25 november 2021

Beveiligingsonderzoeker deelde exploit uit onvrede over bugbounty-programma.

Een zeroday in Windows Installer wordt actief misbruikt door cybercriminelen. Daar waarschuwt Cisco Talos voor. Het lek is een variant op een eerdere fout in Windows Installer, die afgelopen Patch Tuesday gedicht werd. Beide fouten werden ontdekt door een beveiligingsonderzoeker die eerder deze week proof-of-concept (PoC)-code publiceerde.

Het lek dat nu actief misbruikt wordt, is een elevation of privilege-fout die gevolgd wordt onder CVE-2021-41379, schrijft Cisco Talos in een blog. Via deze kwetsbaarheid kan een aanvaller een gebruikersaccount met gelimiteerde rechten gebruiken om administratorrechten te krijgen. Het probleem zit in iedere versie van Microsoft Windows, inclusief Windows 11 en Server 2022. 

Nieuw lek via patch

De zeroday is een andere versie van een eerdere fout die ontdekt werd door beveiligingsonderzoeker Abdelhamid Naceri. Hij werkte samen met Microsoft aan een patch, die op op 9 november tijdens de maandelijkse Patch Tuesday van Microsoft verscheen. Maar Naceri vond een manier om de patch te omzeilen én een nog krachtigere zeroday, zo schreef Bleeping Computer maandag. Naceri publiceerde hier afgelopen zondag een proof-of-concept (PoC) exploit voor. 

Naceri publiceerde de PoC naar eigen zeggen omdat hij gefrustreerd was over het bugbounty-programma van Microsoft. Volgens de onderzoeker betaalt Microsoft sinds april 2020 steeds minder voor gevonden en gemelde fouten. 

In het wild misbruikt

Microsoft gaf de fout eerder een 'medium'-score mee, met een CVSS-score van 5,5 op een schaal van 10. Cisco Talos verwacht echter dat de kwetsbaarheid veel meer misbruikt gaat worden nu er een functionele PoC-exploit is. Het bedrijf heeft ook al malware in het wild gezien die de kwetsbaarheid proberen te misbruiken. 

Een patch is vooralsnog niet beschikbaar. 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.