一名研究人员发现微软8月修补的一项Windows漏洞并未修补完全,使攻击者可在已修补的Windows系统中扩大权限,执行管理员指令。
问题出在研究人员Abdelhamid Naceri今年稍早发现、并通报的Windows用户设置文件服务(Windows User Profile Service)中的本地权限升级(Local Privilege Elevation,LPE)漏洞。它被列为CVE-2021-34484关注,属CVSS 3.1风险值7.8的漏洞。这项漏洞已于8月间由微软修补。
但是Naceri查看了微软的修补程序后,认为并未修补完全。他说明该漏洞能允许与原账户不同密码的用户账号执行程序,甚至不知道其他人的密码也可以。
他还在GitHub公布了新的PoC,成功访问受害系统后以系统管理员身份执行shell指令。
研究人员对媒体指出,微软并未根据他最早的通报报告来修补,只解决了第1次PoC的效果,即删除目录,也就是只解决了表面征兆,但并未解决根本原因,这使其第2次PoC依然成功将一般用户权限提升到管理员权限。
这个漏洞影响所有Windows服务器及PC机版本,包括最新的Windows 11及Server 2022。
微软表示正在调查此事,以确保修户安全。
这是Windows最新一个被怀疑是修补不全的漏洞。今年7月微软缓冲打印多任务服务(Print Spooler)的CVE-2021-34527 LPE和RCE(远程程序代码执行)漏洞,被研究人员怀疑修补不完整,以致于PoC仍然可执行作用。不过微软后来证实是新的漏洞,而非修补不完全。