Windows zero-day: CVE-2021-41379

 

Sigurnosni istraživač Abdelhamid Naceri je otkrio ranjivost u operativnom sistemu Windows koja napadaču može omogućiti da korištenjem običnog korisničkog naloga, preko Microsoft Windows Installer-a dobije administratorske privilegije. Ranjivost se odnosi na sve verzije operativnog sistema Windows uključujući i potpuno ažurirane verzije Windows 11 i Server 2022.

 

Sigurnosni istraživač je sarađivao sa kompanijom Microsoft koja je izdala ažuriranje 9. novembra, konkretno adresirano na sistemsku ranjivost CVE-2021-41379. Ipak, ovo ažuriranje nije u potpunosti riješilo problem, pa je on odlučio da objavi proof-of-concept na GitHub-u koji je nažalost potpuno funkcionalan uprkos sistemskom ažuriranju od strane proizvođača. Kompanija Microsoft je ovu ranjivost označila sa vrijednošću CVSS 5.5, ali objavljivanje koncepta će sigurno dodatno povećati njenu zloupotrebu. Iz sigurnosnog tima Cisco Talos Intelligence Group već je stigla potvrda da su otkrili uzorke zlonamjernog softvera koji iskorištava ovu ranjivosti.

 

Trenutno nema zaobilaznih riješena, tvrdi sigurnosni istraživač Abdelhamid Naceri, a s obzirom da ranjivost iskorištava postojeću MSI funkcionalnost tako nešto je teško i primijeniti. Dobra vijest je da napadač mora imati lokalni pristup uređaju da bi iskoristio ovu ranjivost. Organizacije za sada mogu iskoristi Snort rules koje je objavio Cisco Talos Intelligence Group.

 

Očekuje se da će kompanija Microsoft izdati ažuriranje za ovu ranjivost u sljedećem redovnom ciklusu ažuriranja. Pored toga, tu je preporuka i sigurnosnog istraživača da se ne primjenjuju mikro ažuriranja drugih kompanija, zbog kompleksnosti ove ranjivost. U protivnom bi moglo doći do prestanka funkcionisanja Windows Installer-a.

BotenaGo: prijetnja za rutere i IoT uređaje

Sigurnosni istraživači iz kompanije AT&T Labs su otkrili novi zlonamjerni softver nazvan BotenaGo koji ima mogućnost da iskoristi ranjivosti u mrežnim ruterima i IoT uređajima korištenjem preko 30 različitih metoda. Za sada nepoznati napadači koriste programski jezik Go (poznat još kao Golang) otvorenog koda razvijen od strane kompanije Google. Ovaj programski jezik je vjerovatno izabran zato što jednom napisan kôd se može vrlo lako primjenjivati na različitim operativnim sistema.

 

Napad započinje skeniranjem ranjivosti dostupnih uređaja na Internetu i mapiranjem potencijalnih žrtvi. Nakon toga napadači mogu da iskoriste nezaštićene uređaje izvršavanjem daljinskih komandi ili ubacivanjem zlonamjernog sadržaja. BotenaGo ima potencijal infekcije oko milion nezaštićenih uređaja, uz još uvijek nejasnu svrhu. Nagađa se da bi ovaj zlonamjerni softver moga biti dio kompleksnijeg zlonamjernog softvera koji se trenutno ne koristi ili dio Mirai botnet mreže sa namjenom da cilja tačno određene uređaje. Posljednja opcija bi mogla biti, da je ovaj zlonamjerni softver još u razvojnoj fazi razvoja i da je slučajno pokrenut ranije – razlog je taj  što još ne pravi neku veću štetu. Neke od ranjivosti koje  BotenaGo iskorištava su:

Iako izgleda neaktivno, BotenaGo bi mogao da iskoristi oko milion potencijalno ranjivih uređaja, što samo po sebi predstavlja problem. Kako bi se zaštitili, potrebno je da korisnici primjene sva dostupna ažuriranja na svojim uređajima da se smanji potencijalni uticaj ovog zlonamjernog softvera na ukupni kibernetički prostor. Potrebno je još konfigurisati uređaje da su u skladu sa mogućnostima što manje izloženi na Internetu i kao dodatnu mjeru sigurnosti pravilno konfigurisati firewall.