研究人员绕过微软11月的修补，发布概念性验证攻击程式

微软在今年11月9日修补的CVE-2021-41379漏洞，已被揭露它的安全研究人员Abdelhamid Naceri绕过，而且Naceri还在本周透过GitHub公布了开采该漏洞的概念性验证程式，他向《BleepingComputer》透露，是因为不满微软抓漏奖励专案的奖金不断调降才有此一行动。

CVE-2021-41379为Windows Installer的权限扩张漏洞，在微软本月修补的55个安全漏洞中，仅被列为重要（Important）漏洞，CVSS风险评分为5.5，相较于其他4个零时差漏洞、2个已被开采的漏洞，或者是6个重大漏洞，并未被视为应优先修补的安全漏洞。

Naceri指出，当他在分析CVE-2021-41379的修补程式时，发现微软并未妥善修补，使得他得以绕过这些修补，所打造的概念性验证程式覆盖了Microsoft Edge的任意存取控制清单（DACL），还能将自己复制到服务区域并加以执行，而取得权限的扩张，该验证程式适用于每一个部署了11月修补程式的Windows安装，包括最新的Windows 11及Windows Server 2022。

《BleepingComputer》测试了Naceri所释出的概念性验证程式，证明只需要几秒钟，就能将使用者账号的权限从标准权限提高到系统权限。

对于当初既提交了CVE-2021-41379漏洞予微软，发现漏洞未修补完整，却又公开发表概念性验证程式，Naceri向《BleepingComputer》表示，微软的抓漏奖励计划从去年4月以来就像是废物，倘若不是微软决定调降奖金，他不会有如此举动。也有其它研究人员与Naceri有共鸣，包括抱怨所提交的零时差漏洞奖金从1万美元被调降到1,000美元，或者是指责微软任意调整奖金额度等。

Naceri说，针对该漏洞的最佳缓解措施就是等待微软再次修补，但此一漏洞有些复杂，一不小心就可能会直接破坏Windows Installer。