Windows新漏洞「涵蓋全版本」 駭客短時間「搶走你電腦」

CTWANT|編輯:廖梓翔

有資安人員提報漏洞給微軟後,微軟沒有重視,更新軟體也沒有完全修復。結果目前傳出有駭客集團準備要用這個漏洞進行攻擊。(示意圖/pixabay)
有資安人員提報漏洞給微軟後,微軟沒有重視,更新軟體也沒有完全修復。結果目前傳出有駭客集團準備要用這個漏洞進行攻擊。(示意圖/pixabay)

微軟旗下的作業系統Windows近期爆出最新的零時差漏洞,只要駭客取得擁有部分登入全的用戶帳號,就可以透過這個漏洞將自己升級為電腦管理員,進而在短時間內掌控目標電腦。而這個漏洞涵蓋所有版本的Windows作業系統,其中也包含現行熱門的Windows 11、Windows 10與Windows Server 2022。

綜合外媒報導指出,資安人員Abdelhamid Naceri先前發現微軟作業系統中存在有Windows Installer的權限擴張漏洞「CVE-2021-41379」,經過研究後認為,透過CVE-2021-41379可以更新的方式,讓有心人士取得電腦的最高管理權限。Abdelhamid Naceri在發現後就依照慣例提交給微軟,而微軟也在11月9日發布相關修補程式。

但後來Abdelhamid Naceri研究後,發現微軟所發布的CVE-2021-41379漏洞修補程式並沒有妥善修補,事實上,在11月9日發布的更新程式中總共修補了55個安全漏洞,CVE-2021-41379僅被列為「重要漏洞」而非「重大漏洞」或是「零時漏洞」。再加上微軟降低了給予Abdelhamid Naceri的抓漏獎金。認為自己的發現沒有受到微軟重視的Abdelhamid Naceri,就在22日釋出了概念性驗證攻擊程式。

Abdelhamid Naceri所發布的軟體,可以繞過9日微軟發布的更新,依循同樣的漏洞對電腦展開攻擊。國外媒體實際測試的情況下,也證實只需要幾秒鐘的時間,就可以將手上僅有訪問權限的使用者帳號,提升至擁有系統管理員權限的管理者帳號。而對於Abdelhamid Naceri的行為,其實也有不少資安人員有所共鳴,他們也紛紛抱怨微軟對於抓漏獎金的隨意調整,甚至大幅度的降低獎金金額。

而隨著Abdelhamid Naceri的概念性攻擊軟體釋出後,思科Talos資安團隊就在23日發現已經有駭客使用該漏洞打造的攻擊程式樣本。思科Talos資安團隊表示,目前看到的軟體偏向是實驗性質,推測應該是有駭客團體打算在測試與調整後,進行大規模的攻擊。

原文出處:CTWANT

更多新聞

更多防毒軟體推薦

Kaspersky 卡巴斯基 防毒軟體 / 1台2年[序號下載版]

Kaspersky 卡巴斯基 防毒軟體 / 1台2年

●擊退病毒、間諜軟體與其他許多威脅
● 保護您的個人電腦
● 提供不拖累效能的防護功能
● 透過線上控管簡化安全防護

F-Secure SAFE 全面防護軟體-1台2年授權

F-Secure SAFE 全面防護軟體-1台2年授權

●抵禦各種新型和未知的網路威脅,保持安全狀態
● 安全的網路銀行交易與線上購物
● 不佔資源,維持快速高效的電腦性能
● 裝置定位,協助找回您的行動裝置

諾頓 360進階版-3台裝置1年

諾頓 360進階版-3台裝置1年

●防護勒索軟體攻擊
● 不限流量VPN
● 智慧型防火牆
● 安全密碼管理員
● 網路攝影機防護(Windows)
● 家長防護功能(Windows)
● 50GB雲端空間(Windows)

Trend Micro 趨勢科技 PC-cillin 2021 雲端版 一年一台[序號下載版]

Trend Micro 趨勢科技 PC-cillin 2021 雲端版 一年一台

●全面防範
● 各種 惡意程式、網路詐騙等 未知威脅
● PC-cillin 雲端版創新融合 AI 人工智慧的多層式防護技術,為您精準抵禦 勒索病毒、網路詐騙等各種
● 安全 威脅 防範線上 購物 個資外洩,全面守護電腦、 手機上網 安全 。

延伸閱讀