风险通告
近日,奇安信CERT监测到Windows Installer 权限提升漏洞(0day)Exp在互联网上公开。此漏洞为MicrosoftWindows Installer(CVE-2021-41379)漏洞修复补丁的绕过。奇安信CERT已在Windows11最新版本上成功复现此漏洞,本地攻击者可以利用此漏洞获取SYSTEM权限。目前该漏洞微软还未发布相应的修复补丁。建议客户按照处置建议进行操作。
当前漏洞状态
细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
否 | 已公开 | 已公开 | 未知 |
漏洞描述
近日,奇安信CERT监测到Windows Installer 权限提升漏洞(0day)Exp在互联网上公开。此漏洞为Microsoft Windows Installer(CVE-2021-41379)漏洞修复补丁的绕过。奇安信CERT已在Windows 11最新版本上成功复现此漏洞。该漏洞利用程序通过覆盖Microsoft Edge提升服务(elevation_service.exe)DACL,将自身复制到elevation_service.exe并执行它以获得提升的权限。本地攻击者可以利用此漏洞获取SYSTEM权限。
1、 Windows Installer 权限提升漏洞
漏洞名称 | Windows Installer 权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 高危 | 漏洞ID | 暂无 |
公开状态 | 已公开 | 在野利用 | 未发现 | ||
漏洞描述 | Windows Installer 存在权限提升漏洞,该漏洞利用程序通过覆盖Microsoft Edge提升服务(elevation_service.exe)DACL,将自身复制到elevation_service.exe并执行它以获得提升的权限。本地攻击者可以利用此漏洞获取SYSTEM权限。 | ||||
奇安信CERT已复现该漏洞,截图如下:
风险等级
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
影响范围
奇安信CERT已验证版本:
Windows10
Windows11
WindowsServer 2022
处置建议
1、关注安全通告获取微软最新修补信息。
2、可以关闭MicrosoftEdgeElevationService服务能够缓解一部分的漏洞利用
具体操作:
Win+Q快捷键,搜索服务关键字,然后以管理员身份运行,手动把MicrosoftEdgeElevationService服务的启动类型改为禁用。
时间线
2021年11月24日,奇安信 CERT发布安全风险通告
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
