研究人員繞過微軟11月的修補，發布概念性驗證攻擊程式

微軟在今年11月9日修補的CVE-2021-41379漏洞，已被揭露它的安全研究人員Abdelhamid Naceri繞過，而且Naceri還在本周透過GitHub公布了開採該漏洞的概念性驗證程式，他向《BleepingComputer》透露，是因為不滿微軟抓漏獎勵專案的獎金不斷調降才有此一行動。

CVE-2021-41379為Windows Installer的權限擴張漏洞，在微軟本月修補的55個安全漏洞中，僅被列為重要（Important）漏洞，CVSS風險評分為5.5，相較於其他4個零時差漏洞、2個已被開採的漏洞，或者是6個重大漏洞，並未被視為應優先修補的安全漏洞。

Naceri指出，當他在分析CVE-2021-41379的修補程式時，發現微軟並未妥善修補，使得他得以繞過這些修補，所打造的概念性驗證程式覆蓋了Microsoft Edge的任意存取控制清單（DACL），還能將自己複製到服務區域並加以執行，而取得權限的擴張，該驗證程式適用於每一個部署了11月修補程式的Windows安裝，包括最新的Windows 11及Windows Server 2022。

《BleepingComputer》測試了Naceri所釋出的概念性驗證程式，證明只需要幾秒鐘，就能將使用者帳號的權限從標準權限提高到系統權限。

對於當初既提交了CVE-2021-41379漏洞予微軟，發現漏洞未修補完整，卻又公開發表概念性驗證程式，Naceri向《BleepingComputer》表示，微軟的抓漏獎勵計畫從去年4月以來就像是廢物，倘若不是微軟決定調降獎金，他不會有如此舉動。也有其它研究人員與Naceri有共鳴，包括抱怨所提交的零時差漏洞獎金從1萬美元被調降到1,000美元，或者是指責微軟任意調整獎金額度等。

Naceri說，針對該漏洞的最佳緩解措施就是等待微軟再次修補，但此一漏洞有些複雜，一不小心就可能會直接破壞Windows Installer。