{"id":4130,"date":"2021-11-29T13:05:29","date_gmt":"2021-11-29T13:05:29","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=4130"},"modified":"2023-09-16T11:00:09","modified_gmt":"2023-09-16T11:00:09","slug":"windows-installer-zero-day","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/windows-installer-zero-day\/","title":{"rendered":"Windows Installer Zero-Day"},"content":{"rendered":"\n<p>Individuata una nuova vulnerabilit\u00e0 di <strong>Windows Installer<\/strong> per eseguire attivit\u00e0 di Privilege Escalation. La vulnerabilit\u00e0 sembrerebbe essere stata introdotta a seguito del rilascio di un&#8217;altra patch di sicurezza da parte di Microsoft per risolvere altri aspetti di sicurezza.<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full is-resized\"><img decoding=\"async\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/11\/image-24.png\" alt=\"\" class=\"wp-image-4140\" width=\"598\" height=\"711\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/11\/image-24.png 643w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/11\/image-24-252x300.png 252w\" sizes=\"(max-width: 598px) 100vw, 598px\" loading=\"lazy\" \/><\/figure><\/div>\n\n\n\n<p>La precedente vulnerabilit\u00e0 (<a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-41379\">CVE-2021-41379<\/a>) di <strong>Windows Installer<\/strong> \u00e8 stata fixata da Microsoft un paio di settimane fa come parte degli aggiornamenti del Patch Tuesday di Novembre.<br>Tuttavia, dopo aver esaminato la correzione, alcuni ricercatori hanno trovato un bypass e un bug di elevazione dei privilegi zero-day ancora pi\u00f9 preoccupante. <br>Negli ultimi giorni \u00e8 stato pubblicato un exploit <strong>POC <\/strong>(proof of concept) chiamato <a href=\"https:\/\/github.com\/klinix5\/InstallerFileTakeOver\">InstallerFileTakeOver <\/a>per il bug valido per tutte le versioni di Windows. Se sfruttata, la vulnerabilit\u00e0 permetterebbe ad un attaccante di ottenere i privilegi di amministratore in <strong>Windows 10<\/strong>, <strong>Windows 11<\/strong> e <strong>Windows Server<\/strong>.<\/p>\n\n\n\n<p>I ricercatori hanno gi\u00e0 individuato alcuni malware che sfruttano questa vulnerabilit\u00e0. Alcuni di essi hanno anche confermato su Twitter che il POC funziona e fornisce un&#8217;escalation dei privilegi locali anche sui sistemi Windows 10 20H2 e Windows 11 con l&#8217;ultima patch di sicurezza installata.<\/p>\n\n\n\n<p>Sebbene le Group Policy per impostazione predefinita non consentano agli utenti standard di eseguire alcuna operazione MSI, la funzionalit\u00e0 di installazione amministrativa sembra ignorare completamente le Group Policy.<br>Il codice rilasciato nella POC sfrutta la <strong>discretionary access control list (DACL) <\/strong>per Microsoft Edge Elevation Service per sostituire qualsiasi file eseguibile sul sistema con un file MSI, consentendo a un utente malintenzionato di eseguire il codice come amministratore.<\/p>\n\n\n\n<p>A causa della complessit\u00e0 di questa vulnerabilit\u00e0, qualsiasi tentativo di correggere il file binario farebbe smettere di far funzionare Windows Installer. La migliore soluzione alternativa disponibile al momento \u00e8 attendere che Microsoft rilasci una patch di sicurezza e monitorare i sistemi Windows per l&#8217;identificazione di attacchi di questo tipo.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Individuata una nuova vulnerabilit\u00e0 di Windows Installer per eseguire attivit\u00e0 di Privilege Escalation. La vulnerabilit\u00e0 sembrerebbe essere stata introdotta a seguito del rilascio di un&#8217;altra patch di sicurezza da parte di Microsoft per risolvere altri aspetti di sicurezza. La precedente vulnerabilit\u00e0 (CVE-2021-41379) di Windows Installer \u00e8 stata fixata da Microsoft un paio di settimane fa [&hellip;]<\/p>\n","protected":false},"author":7,"featured_media":4140,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1491,1573],"class_list":["post-4130","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-cve-it","tag-privilege-escalation-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4130","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=4130"}],"version-history":[{"count":10,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4130\/revisions"}],"predecessor-version":[{"id":4166,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4130\/revisions\/4166"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media\/4140"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=4130"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=4130"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=4130"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}