U kunt direct een beheerder worden met een nieuwe exploit op Windows zero-day

Cybersecurity heeft een lange weg afgelegd en onderzoekers hebben nu een nieuwe exploit ontdekt die een Windows-kwetsbaarheid is.

De nieuwe exploit maakt gebruik van lokale privileges en geeft beheerders toegang tot Windows 10, Windows 11 en Windows Server-versies.

Zodra toegang is verleend aan een standaardgebruikersaccount, kan dit de gebruikersrechten van het SYSTEEM verhogen en verdere bewegingen binnen het netwerk maken.

De kwetsbaarheid is blijkbaar ontdekt in de oktober 2021 Lapje Dinsdag en vast in de November 2021 Patch dinsdag. Er was een bypass die een krachtiger privilege-kwetsbaarheid ontdekte en misbruik maakte van de situatie.

Bewijs van concept

Abdelhamid Naceri van Trend Micros publiceerde een werkende proof-of-concept (PoC) exploit voor de nieuwe zero-day en zegt dat het werkt op alle ondersteunde versies van Windows.

“Deze variant werd ontdekt tijdens de analyse van de CVE-2021-41379 patch. de bug was echter niet correct opgelost, in plaats van de bypass te laten vallen. Ik heb ervoor gekozen om deze variant daadwerkelijk te laten vallen omdat deze krachtiger is dan de originele” 

Volgens Naceri is de PoC "extreem betrouwbaar". Hij heeft het getest in verschillende omstandigheden en verschillende Windows-varianten die bij elke poging succesvol waren.

Hij legt verder uit dat de PoC zelfs werkt in een Windows-serverinstallatie. Dit is zeldzaam omdat het standaardgebruikers niet toestaat MSI-installatiebewerkingen uit te voeren.

“De beste oplossing die op het moment van schrijven beschikbaar is, is wachten tot Microsoft een beveiligingspatch uitbrengt, vanwege de complexiteit van dit beveiligingslek. Elke poging om het binaire bestand rechtstreeks te patchen, zal [het] Windows-installatieprogramma breken” 

Wat vind je van deze nieuwe exploit? Deel uw mening in het commentaargedeelte.