האקרים כבר מנצלים את InstallerFileTakeOver Windows ביום אפס

דיווחנו אתמול על כך חוקר אבטחה פרסם ניצול פשוט מאוד להסלמה של הרשאות עבור כל הגירסאות הנתמכות של Windows.

הניצול של Naceri מעלה בקלות משתמש רגיל להרשאות מערכת, כפי שניתן לראות בסרטון של BleepingComputer למטה:

הניצול 'InstallerFileTakeOver' עובד על Windows 10, Windows 11 ו-Windows Server וניתן לשרשר אותו עם ניצולים אחרים כדי להשתלט באופן מלא על רשת מחשבים.

בהצהרה של מיקרוסופט צמצמה את הסיכון, ואמרה:

"אנו מודעים לחשיפה ונעשה את הדרוש כדי לשמור על בטיחות הלקוחות שלנו ומוגנים. לתוקף המשתמש בשיטות המתוארות חייבת להיות כבר גישה ויכולת להריץ קוד במחשב של קורבן המטרה."

כעת מדווחת BleepingComputer שהאקרים כבר החלו לחקור את הפריצה.

"טאלוס כבר זיהתה דגימות תוכנות זדוניות בטבע שמנסות לנצל את הפגיעות הזו", אמר ג'ייסון שולץ, מנהיג טכני עבור קבוצת המודיעין והמחקר האבטחה Talos של סיסקו.

נראה שההאקרים עדיין נמצאים בשלב הפיתוח של התוכנה הזדונית שלהם.

"במהלך החקירה שלנו, בדקנו דגימות תוכנות זדוניות אחרונות והצלחנו לזהות כמה שכבר ניסו למנף את הניצול", אמר ראש מחלקת ההסברה של Cisco Talos, Nick Biasini. "מכיוון שהנפח נמוך, סביר להניח שאנשים עובדים עם קוד הוכחת הרעיון או בדיקות לקמפיינים עתידיים. זו רק הוכחה נוספת לכמה מהר פועלים יריבים לנשק ניצול זמין לציבור."

Naceri, ששחרר את קוד הוכחת הרעיון ליום האפס, אמר ל-BeepingComputer שהוא עשה זאת בשל התשלומים הקטנים של מיקרוסופט בתוכנית הבאונטי שלהם.

"הפרסים של מיקרוסופט הושלכו לאשפה מאז אפריל 2020, באמת לא הייתי עושה את זה אם MSFT לא תקבל את ההחלטה להוריד את הדירוג של הפרסים האלה", הסביר Naceri.

מכיוון שהקו בין חוקרי אבטחה למחברי תוכנות זדוניות הוא דק מאוד, ייתכן שמיקרוסופט תרצה להעריך מחדש את אסטרטגיית השפע הבאגים שלה בעתיד.

באמצעות מטלפן