微軟在今年11月9日修補的CVE-2021-41379漏洞,已被揭露它的安全研究人員Abdelhamid Naceri繞過,而且Naceri還在本周透過GitHub公布了開採該漏洞的概念性驗證程式,他向《BleepingComputer》透露,是因為不滿微軟抓漏獎勵專案的獎金不斷調降才有此一行動。

CVE-2021-41379為Windows Installer的權限擴張漏洞,在微軟本月修補的55個安全漏洞中,僅被列為重要(Important)漏洞,CVSS風險評分為5.5,相較於其他4個零時差漏洞、2個已被開採的漏洞,或者是6個重大漏洞,並未被視為應優先修補的安全漏洞。

Naceri指出,當他在分析CVE-2021-41379的修補程式時,發現微軟並未妥善修補,使得他得以繞過這些修補,所打造的概念性驗證程式覆蓋了Microsoft Edge的任意存取控制清單(DACL),還能將自己複製到服務區域並加以執行,而取得權限的擴張,該驗證程式適用於每一個部署了11月修補程式的Windows安裝,包括最新的Windows 11及Windows Server 2022。

《BleepingComputer》測試了Naceri所釋出的概念性驗證程式,證明只需要幾秒鐘,就能將使用者帳號的權限從標準權限提高到系統權限。

對於當初既提交了CVE-2021-41379漏洞予微軟,發現漏洞未修補完整,卻又公開發表概念性驗證程式,Naceri向《BleepingComputer》表示,微軟的抓漏獎勵計畫從去年4月以來就像是廢物,倘若不是微軟決定調降獎金,他不會有如此舉動。也有其它研究人員與Naceri有共鳴,包括抱怨所提交的零時差漏洞獎金從1萬美元被調降到1,000美元,或者是指責微軟任意調整獎金額度等。

Naceri說,針對該漏洞的最佳緩解措施就是等待微軟再次修補,但此一漏洞有些複雜,一不小心就可能會直接破壞Windows Installer。


熱門新聞

Advertisement