Biztonsági szakértők egy olyan fenyegetést fedeztek fel a Windows Installer programjában, amely a legrosszabb esetben felhasználók milliárdjait károsíthatja meg-írja a Gizmodo a Bleeping Computerre hivatkozva.
A legjobbakkal is megesik
A Microsoft november elején jelentette be, hogy a szakértői azonosítottak egy biztonsági problémát (CVE-2021-41379) a Windows Installer alkalmazástelepítő, konfiguráló szoftverben. A cég tájékoztatás szerint a „rést betömték", nemrég azonban a Cisco Talos Intelligence Group, a világ egyik legnagyobb kereskedelmi fenyegetésekkel foglalkozó hírszerző csapata figyelmeztetett, hogy a problémát nem sikerült teljesen megoldani.
A cég szóvivője elmondta, hogy a szakértők egy olyan variánsát fedezték fel az eredeti hibának, amely még veszélyesebb a felhasználók rendszereire. Hozzátette, egyelőre csak egy proof-of-concept-ről, azaz egyfajta működésképességi igazolásról van szó, viszont egyre többször észlelik, hogy valaki/valakik megpróbálják kihasználni a sebezhetőséget. Egyelőre azonban kevés esetszámot azonosítottak, ami azt jelzi, hogy vélhetően az úgynevezett hibakereső fejvadászok tesztelgetik a rést, hogy megoldást találjanak, és begyűjthessék a sikerdíjat a Microsofttól.
Mekkora a baj?
Mint kiderült, a „bug" új variánsa lehetővé teszi a felhasználók (támadók) számára, hogy a helyi jogosultságokat SYSTEM, azaz rendszergazdai jogosultságokra emeljék. Ezek a Windows rendszeren elérhető legmagasabb felhasználói jogok. Ha a támadók sikeresen megszerzik ezeket a jogokat, akkor a rendszer bármely végrehajtható fájlját képesek lecserélni egy MSI-fájlra. Amint ez megtörténik, rendszergazdaként futtathatnak bármilyen kódot. Konyhanyelven: átvehetik az uralmat az egész rendszer fölött.
Abdelhamid Naceri kiberbiztonsági szakértő letesztelte a programot, amely néhány másodperc alatt képes volt végrehajtani az előbb említetteket. Úgy véli, ez az új verzió még veszélyesebb, mint az eredeti, mert megkerüli a Windows rendszergazdai telepítésében szereplő csoportházirendet.
A biztonsági rés a Windows operációs rendszer legújabb verzióit, egyebek között a Windows 10-et és a Windows 11-et használó vásárlókra jelent - igaz, nem közvetlen- fenyegetést. Több mint egymilliárd eszközről beszélünk.
Mielőtt bárki pánikba esne, egy olyan szoftverről van szó, amely fizikai hozzáférést igényel a céleszközökhöz, így egyelőre nem kell komolyabban tartani a támadásoktól. Továbbá a proof-of-concept megléte nyomást gyakorol a Microsoftra, így várhatóan hamarosan érkezik a működőképes patch, amely teljesen befoltozza a rést. Addig is érdemes várni a rendszerfrissítésekkel. A Microsoft jellemzően keddenként hoz ki új patch-eket.
