Possible évolution de la CVE-2021-41379
Date de publication :
CVE-2021-41379[Score CVSS v3.1: 5.5]
Dans le cadre du Patch Tuesday de novembre 2021, Microsoft a corrigé une vulnérabilité du type « Elévation de privilèges de Windows Installer » suivie comme CVE-2021-41379.
Cependant, le chercheur Abdelhamid Naceri ayant trouvé la faille et travaillant avec Trend Micro Zero Day Initiative, a analysé le correctif publié par Microsoft concernant cette vulnérabilité.
Le chercheur a trouvé une attaque de type ZéroDay car la faille n’a pas été correctement corrigée et l’a publiée en sources ouvertes. La preuve de concept modifie et écrase le service d'élévation de Microsoft Edge DACL (liste de contrôle d'accès discrétionnaire).
Grâce à un compte authentifié, l’attaquant peut écraser et réécrire à partir de l'emplacement du service, tout en l’exécutant, une mise à jour ou un exécutable pour obtenir des privilèges élevés du type SYSTEM. Cette technique risque ne pas fonctionner sur toutes les installations, car les installations Windows telles que les serveurs 2016 et 2019 peuvent ne pas disposer du service d'élévation.
L’équipe « Cisco's Talos Security Intelligence & Research » aurait déjà trouvé des malwares utilisant cette 0Day.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
Criticité
- Score CVSS v3.1: 5.5
CVE
Composants vulnérables.
- Tous les ordinateurs, serveurs et machine virtuelle fonctionnant sur Microsoft Windows avec le service élévation activé.
Solutions ou recommandations
Il n’y a pas de correctif actuellement. Cependant, l’EventId 1033 du journal d’Event Application de Microsoft Windows correspond à une installation d’un package MSI et doit être surveillé.