微軟推出有缺陷更新補丁

　　令人意外的是，該漏洞是微軟“主動公開”的。

　　11月9日微軟曾發(fā)布補丁修復此漏洞，然而安全研究人員Abdelhamid Naceri查看了微軟發(fā)布的安全更新補丁后，發(fā)現(xiàn)微軟并沒有完全修復這個漏洞， Windows 10、11和Server 2022等系統(tǒng)新存在一個新的權(quán)限提升漏洞， Naceri將這個新漏洞命名為“安裝程序文件接管” （InstallerFileTakeOver）。

　　據(jù)悉，該漏洞源于Windows Installer服務特定的缺陷，攻擊者可以利用此漏洞在SYSTEM上下文中創(chuàng)建，提升當前賬戶的管理權(quán)限，然后以System身份權(quán)限執(zhí)行任意代碼，如刪除文件或安裝軟件。

　　根據(jù)測試結(jié)果顯示，零日漏洞包含低級別權(quán)限帳戶打開System權(quán)限的命令提示符。換句話說，黑客可以利用這個漏洞輕松獲得被入侵設(shè)備的最高權(quán)限，使其電腦病毒在網(wǎng)絡中快速擴散。

　　Naceri在GitHub上發(fā)布了這個零日漏洞的概念驗證（POC） ，用來幫助用戶確認漏洞是否存在，并且這個適用于所有受支持的 Windows 版本?！斑@個變種是在分析CVE-2021-41379補丁期間發(fā)現(xiàn)的。這個錯誤并沒有被正確修復?！盢aceri在他的文章中解釋道?！拔疫x擇放棄這繼續(xù)修補這個漏洞，因為它比原來更強大?！?/p>

　　隨時減少的賞金計劃引獵人不滿

　　對于Naceri解釋了他為什么公開零日漏洞時，Naceri稱：“自2020年4月以來，微軟的賞金計劃發(fā)生了變化，如果微軟不降低這些賞金級別，我真的不會這樣做?！?/p>

　　而且Naceri并不是唯一一個不滿微軟減少bug賞金獎勵的安全研究人員。

　　一位名叫MalwareTech網(wǎng)友表示，在微軟新的漏洞賞金計劃下，他的一個bug賞金獎10000美元變成了1000美元 。此外還有網(wǎng)友勸告Naceri ：“當心！微軟將隨時減少您的賞金！”

　　自從安全研究人員Naceri公布零日漏洞后，Cisco Talos研究人員就發(fā)現(xiàn)已有黑客開始利用進行惡意破壞了。Cisco Talos主管Nick Biasini提到，“在我們最近的惡意軟件樣本中，已經(jīng)識別出幾個在嘗試利用該漏洞的樣本。”

　　等待Microsoft重新發(fā)布安全補丁

　　面對如此強大的漏洞，微軟官方也站出來表態(tài)，表示他們很清楚該漏洞被公開披露后的影響，并稱將采取必要措施確?？蛻粝到y(tǒng)安全。此外微軟官方還強調(diào)使用上述方法的攻擊者，必須先擁有訪問權(quán)限才能在目標受害者的機器上運行代碼。

　　此外，微軟承諾軟在下個星期二發(fā)布最新補丁修復零日漏洞。

　　同時安全人員Naceri也表示，鑒于此漏洞的復雜性，目前針對該漏洞的最佳解決方法，現(xiàn)在最佳解決方法是等待 Microsoft 自己發(fā)布安全補丁，任何直接修補二進制文件的嘗試都會破壞 Windows 安裝程序。

　　Naceri最后還強調(diào)，不建議第三方公司嘗試通過二進制文件來修復漏洞，因為它可能會破壞安裝程序。

　　對此，你怎么看？歡迎留言評論。