企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    近日，奇安信CERT监测到WindowsInstaller权限提升漏洞（0day）Exp在互联网上公开。此漏洞为MicrosoftWindowsInstaller（CVE-2021-41379）漏洞修复补丁的绕过。奇安信CERT已在Windows11最新版本上成功复现此漏洞，本地攻击者可以利用此漏洞获取SYSTEM权限。目前该漏洞微软还未发布相应的修复补丁。建议客户按照处置建议进行操作。

    当前漏洞状态

    漏洞描述

    近日，奇安信CERT监测到WindowsInstaller权限提升漏洞（0day）Exp在互联网上公开。此漏洞为MicrosoftWindowsInstaller（CVE-2021-41379）漏洞修复补丁的绕过。奇安信CERT已在Windows11最新版本上成功复现此漏洞。该漏洞利用程序通过覆盖MicrosoftEdge提升服务（elevation_service.exe）DACL，将自身复制到elevation_service.exe并执行它以获得提升的权限。本地攻击者可以利用此漏洞获取SYSTEM权限。

    1、WindowsInstaller权限提升漏洞

    奇安信CERT已复现该漏洞，截图如下：

    风险等级

    奇安信CERT风险评级为：高危

    风险等级：蓝色（一般事件）

    影响范围

    奇安信CERT已验证版本：

    Windows10

    Windows11

    WindowsServer2022

    处置建议

    1、关注安全通告获取微软最新修补信息。

    2、可以关闭MicrosoftEdgeElevationService服务能够缓解一部分的漏洞利用

    具体操作:

    Win+Q快捷键，搜索服务关键字，然后以管理员身份运行，手动把MicrosoftEdgeElevationService服务的启动类型改为禁用。

    时间线

    2021年11月24日，奇安信CERT发布安全风险通告

    到奇安信NOX-安全监测平台查询更多漏洞详情

    奇安信CERT长期招募安全研究员