據thehackernews消息，惡意軟件研究員 Abdelhamid Naceri 近日發現了一個Windows零日漏洞，涉及Windows Installer 軟件組件，利用該漏洞，擁有部分權限的用戶可以提升自己的權限至系統管理員。

思科 Talos 安全情報與研究小組的技術負責人 Jaeson Schultz表示，思科已在發現該漏洞正在被黑客利用發起網絡攻擊，但目前依舊處于小規模攻擊階段，很有可能是為發起全面攻擊而進行的測試活動。

微軟曾在2021年11月的星期二補丁日活動中發布了該漏洞的補丁，但似乎并沒有完全解決這一漏洞。Naceri發現在某些情況下，攻擊這不僅可以繞過微軟的補丁修復，還可以通過新發現的零日漏洞實現本地權限提升。

該漏洞編號為CVE-2021-41379，上周日(11月21日)Naceri針對這個新漏洞進行了PoC測試，聲稱適用于所有受支持的 Windows 版本，其中包括Windows 10、Windows 11和Windows Server2022。

PoC測試被稱為“ InstallerFileTakeOver ”，Naceri通過覆蓋Microsoft Edge Elevation Service的自由訪問控制列表(DACL)來工作，用MSI安裝程序文件替換系統上的任何可執行文件，允許攻擊者以 SYSTEM 權限運行代碼。

而一旦攻擊者拿下管理員權限，那么他就可以利用該權限來完全控制受感染的系統，可以任意進行各種操作，包括下載其他軟件，修改、刪除或者導出設備中的所有敏感信息等。

另外一位安全研究員 Kevin Beaumont在社交平臺上發布推文表示，他在Windows 10 20H2 和Windows 11上測試后發現完全有效，這證明微軟此前發布的補丁沒有徹底修復該漏洞。

值得注意的是Naceri還指出，CVE-2021-41379最近已經出現了變種，且比“原版本更加強大”，目前最好的辦法就是等待Microsoft 發布針對該問題的安全補丁，徹底解決這個復雜的零日漏洞。

但微軟目前并未發布關于該漏洞的補丁公告。

參考來源：https://thehackernews.com/2021/11/warning-hackers-exploiting-new-windows.html