새로운 윈도우 제로데이 로컬 권한 상승 취약점 익스플로잇 공개돼

Expert disclosed an exploit for a new Windows zero-day local privilege elevation issue

 

BleepingComputer의 보안 연구원이 공격자가 윈도우 10, 윈도우 11, 윈도우 Server에서 관리자 권한을 얻기 위해 악용가능한 새로운 윈도우 제로데이 로컬 권한 상승 취약점에 대한 익스플로잇을 공개했다고 보고했습니다.

 

이 취약점은 공격자가 여러 악의적인 활동을 수행할 수 있는 권한을 높이는데 악용이 가능하며, 보안 연구원 Abdelhamid Naceri가 발견하여 GitHub에 이 새로운 제로데이에 대한 동작하는 PoC 익스플로잇을 게시했습니다.

 

BleepingComputer의 연구원들은 Naceri가 게시한 "InstallerFileTakeOver" 익스플로잇을 테스트하는데 성공했습니다.

 

Naceri는 그가 제보한 또 다른 윈도우 인스톨러 권한 상승 취약점인 CVE-2021-41379이 마이크로소프트의 11월 ‘패치 화요일’에서 수정되자, 이를 분석하는 도중 해당 취약점을 발견할 수 있었습니다.

 

또한 전문가는 마이크로소프트에서 발행한 패치를 우회할 수 있었습니다.

 

“이 변종은 CVE-2021-41379 패치 분석 중 발견했습니다. 하지만 버그는 제대로 수정되지 않았습니다.”

 

"이 변종의 PoC는 매우 안정적이며 특별한 조건이 필요하지 않기 때문에 시도한 모든 테스트가 성공적이었습니다. PoC는 마이크로소프트의 상승 서비스 DACL을 덮어쓰기하고, 자기 자신을 서비스 위치에 복사한 후 실행시켜 상승된 권한을 획득합니다.”

 

“윈도우 서버 20176 및 2019는 상승 서비스를 포함하지 않기 때문에, 이 기술은 모든 설치본에서 동작하지 않을 수 있습니다.”

 

전문가는 CVE-2021-41379 패치 우회 작업을 하는 동안 윈도우 인스톨러 서비스에서 고유한 동작을 트리거하는 MSI 패키지 2개를 생성했습니다. 그 중 하나는 CVE-2021-41379 우회입니다.

 

Naceri는 마이크로소프트가 해당 버그에 대한 현상금을 낮게 측정했기 때문에, 이 제로데이 취약점을 공개하게 됐다고 밝혔습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/124909/hacking/windows-zero-day-exploit.html

https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/

https://github.com/klinix5/InstallerFileTakeOver