Windows新漏洞「涵蓋全版本」　駭客短時間「搶走你電腦」

CTWANT｜編輯：廖梓翔

有資安人員提報漏洞給微軟後，微軟沒有重視，更新軟體也沒有完全修復。結果目前傳出有駭客集團準備要用這個漏洞進行攻擊。（示意圖／pixabay）

微軟旗下的作業系統Windows近期爆出最新的零時差漏洞，只要駭客取得擁有部分登入全的用戶帳號，就可以透過這個漏洞將自己升級為電腦管理員，進而在短時間內掌控目標電腦。而這個漏洞涵蓋所有版本的Windows作業系統，其中也包含現行熱門的Windows 11、Windows 10與Windows Server 2022。

綜合外媒報導指出，資安人員Abdelhamid Naceri先前發現微軟作業系統中存在有Windows Installer的權限擴張漏洞「CVE-2021-41379」，經過研究後認為，透過CVE-2021-41379可以更新的方式，讓有心人士取得電腦的最高管理權限。Abdelhamid Naceri在發現後就依照慣例提交給微軟，而微軟也在11月9日發布相關修補程式。

但後來Abdelhamid Naceri研究後，發現微軟所發布的CVE-2021-41379漏洞修補程式並沒有妥善修補，事實上，在11月9日發布的更新程式中總共修補了55個安全漏洞，CVE-2021-41379僅被列為「重要漏洞」而非「重大漏洞」或是「零時漏洞」。再加上微軟降低了給予Abdelhamid Naceri的抓漏獎金。認為自己的發現沒有受到微軟重視的Abdelhamid Naceri，就在22日釋出了概念性驗證攻擊程式。

Abdelhamid Naceri所發布的軟體，可以繞過9日微軟發布的更新，依循同樣的漏洞對電腦展開攻擊。國外媒體實際測試的情況下，也證實只需要幾秒鐘的時間，就可以將手上僅有訪問權限的使用者帳號，提升至擁有系統管理員權限的管理者帳號。而對於Abdelhamid Naceri的行為，其實也有不少資安人員有所共鳴，他們也紛紛抱怨微軟對於抓漏獎金的隨意調整，甚至大幅度的降低獎金金額。

而隨著Abdelhamid Naceri的概念性攻擊軟體釋出後，思科Talos資安團隊就在23日發現已經有駭客使用該漏洞打造的攻擊程式樣本。思科Talos資安團隊表示，目前看到的軟體偏向是實驗性質，推測應該是有駭客團體打算在測試與調整後，進行大規模的攻擊。

原文出處：CTWANT

Kaspersky 卡巴斯基防毒軟體 / 1台2年

●擊退病毒、間諜軟體與其他許多威脅
● 保護您的個人電腦
● 提供不拖累效能的防護功能
● 透過線上控管簡化安全防護

F-Secure SAFE 全面防護軟體-1台2年授權

●抵禦各種新型和未知的網路威脅，保持安全狀態
● 安全的網路銀行交易與線上購物
● 不佔資源，維持快速高效的電腦性能
● 裝置定位，協助找回您的行動裝置

諾頓 360進階版-3台裝置1年

●防護勒索軟體攻擊
● 不限流量VPN
● 智慧型防火牆
● 安全密碼管理員
● 網路攝影機防護(Windows)
● 家長防護功能(Windows)
● 50GB雲端空間(Windows)

Trend Micro 趨勢科技 PC-cillin 2021 雲端版一年一台

●全面防範
● 各種惡意程式、網路詐騙等未知威脅
● PC-cillin 雲端版創新融合 AI 人工智慧的多層式防護技術，為您精準抵禦勒索病毒、網路詐騙等各種
● 安全威脅防範線上購物個資外洩，全面守護電腦、手機上網安全。

延伸閱讀

快加入myfone online 會員，首次購物送MyVideo影音大禮包，還能不定時享有更多好康唷！
OP響樂生活讀者專享myfone online折價券序號：（加入會員登錄下方序號即可使用）
● 折1050序號：OPBLOG1050（滿15,000）
● 折550序號：OPBLOG550（滿6,000）
● 折350序號：OPBLOG350（滿1,800）
● 折120序號：OPBLOG120（滿500）