윈도우 인스톨러의 제로데이 취약점이 지난 일요일에 공개됐습니다. 사용자 권한을 시스템 레벨까지 높일 수 있으며, 최신 버전으로 패치된 윈도우 11과 윈도우 서버 2022까지 모든 버전에서 작동합니다.
https://github.com/klinix5/InstallerFileTakeOver
마이크로소프트는 이 취약점을 패치했으나 아직 문제가 완전히 해결되지 않았습니다. 여전히 이 취약점을 쓸 수 있다는 개념 증명도 올라와 있네요.
Microsoft Edge Elevation Service용 DACL(임의 액세스 제어 목록)를 사용해 시스템의 모든 실행 파일을 msi 파일로 바꾸고 관리자 권한으로 코드를 실행할 수 있습니다.
그리고 이 취약점을 악용하는 악성 코드 인스턴스를 목격했다는 경험담도 나오고 있습니다.
https://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html