По информации экспертов Cisco из команды Talos Security Intelligence & Research Group, которые занимаются исследованиями в области угроз информационной безопасности, разработчики вредоносного ПО начали использовать открытый недавно эксплойт на уязвимость нулевого дня Windows. Microsoft пока что не выпустила патч против этой локальной проблемы, а ей подвержены все поддерживаемые Microsoft версии Windows, включая WIndows 10, Windows 11 и даже Windows Server.
Эксперты Cisco Talos получили и проанализировали несколько образцов вредоносных программ почти сразу после того, как эксплойт был выложен в открытый доступ. Они пришли к выводу, что теперь злоумышленники работают очень быстро и могут в течение нескольких часов «превратить общедоступный эксплойт в оружие».
22 ноября исследователь Абдельхамида Насери выложил на GitHub рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM. Причем эксплойт работает даже если ПК в домене — он обходит установленные групповые политики со стороны сервера Windows Server 2022, например, запрет «стандартным» пользователям выполнять операции установщика MSI. Насери рассказал, что он публично раскрыл рабочий эксплойт, так как сильно разочаровался в политике Microsoft, которая с апреля 2020 года уменьшает награды исследователям по bug bounty и хочет обратить на это внимание со стороны компании.
