Windows新漏洞「涵蓋全版本」　駭客短時間「搶走你電腦」

CTWANT｜編輯：廖梓翔

有資安人員提報漏洞給微軟後，微軟沒有重視，更新軟體也沒有完全修復。結果目前傳出有駭客集團準備要用這個漏洞進行攻擊。（示意圖／pixabay）

微軟旗下的作業系統Windows近期爆出最新的零時差漏洞，只要駭客取得擁有部分登入全的用戶帳號，就可以透過這個漏洞將自己升級為電腦管理員，進而在短時間內掌控目標電腦。而這個漏洞涵蓋所有版本的Windows作業系統，其中也包含現行熱門的Windows 11、Windows 10與Windows Server 2022。

綜合外媒報導指出，資安人員Abdelhamid Naceri先前發現微軟作業系統中存在有Windows Installer的權限擴張漏洞「CVE-2021-41379」，經過研究後認為，透過CVE-2021-41379可以更新的方式，讓有心人士取得電腦的最高管理權限。Abdelhamid Naceri在發現後就依照慣例提交給微軟，而微軟也在11月9日發布相關修補程式。

但後來Abdelhamid Naceri研究後，發現微軟所發布的CVE-2021-41379漏洞修補程式並沒有妥善修補，事實上，在11月9日發布的更新程式中總共修補了55個安全漏洞，CVE-2021-41379僅被列為「重要漏洞」而非「重大漏洞」或是「零時漏洞」。再加上微軟降低了給予Abdelhamid Naceri的抓漏獎金。認為自己的發現沒有受到微軟重視的Abdelhamid Naceri，就在22日釋出了概念性驗證攻擊程式。

Abdelhamid Naceri所發布的軟體，可以繞過9日微軟發布的更新，依循同樣的漏洞對電腦展開攻擊。國外媒體實際測試的情況下，也證實只需要幾秒鐘的時間，就可以將手上僅有訪問權限的使用者帳號，提升至擁有系統管理員權限的管理者帳號。而對於Abdelhamid Naceri的行為，其實也有不少資安人員有所共鳴，他們也紛紛抱怨微軟對於抓漏獎金的隨意調整，甚至大幅度的降低獎金金額。

而隨著Abdelhamid Naceri的概念性攻擊軟體釋出後，思科Talos資安團隊就在23日發現已經有駭客使用該漏洞打造的攻擊程式樣本。思科Talos資安團隊表示，目前看到的軟體偏向是實驗性質，推測應該是有駭客團體打算在測試與調整後，進行大規模的攻擊。

原文出處：CTWANT