Windows Installer零日漏洞在野利用样本曝光，可本地提权

最新的安全研究表明，攻击者正在积极努力利用最近披露的Windows特权升级漏洞的新变种，以在未完全修补的系统上执行任意代码，这再次证明了攻击者如何迅速采取行动将公开可用的漏洞武器化，并迅速实现大规模的入侵。

思科Talos实验室称检测到试图利用此漏洞的在野恶意软件样本，影响 Windows Installer 软件组件的特权提升漏洞，漏洞号为CVE-2021-41379，最初是作为微软2021 年 11 月的安全补丁进行了修复。然而新发现的样本表明，该安全补丁并没有完全修复该劳动，不仅可以绕过微软的修复，还可以通过新发现的零日漏洞实现本地权限提升。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，该漏洞的概念验证 (PoC) 被称为  InstallerFileTakeOver ，它通过覆盖Microsoft Edge Elevation Service的自由访问控制列表 ( DACL ) 来工作，用 MSI 安装程序文件替换系统上的任何可执行文件，允许攻击者以 SYSTEM 权限运行代码。

然后，具有管理员权限的攻击者可以滥用访问权限来完全控制受感染的系统，包括下载其他软件以及修改、删除或泄露存储在机器中的敏感信息的能力。

安全研究人员称，在 Windows 10 20H2 和 Windows 11 上测试表明漏洞能成功利用，这表明微软之前发布的安全补丁并没有正确地解决问题。CVE-2021-41379 的最新变体比原始样本更强大，最好的方案是等待 Microsoft 发布针对该漏洞的安全补丁。

目前尚不清楚微软何时会对公开披露该漏洞并发布修复程序。