Een kwetsbaarheid in de Windows Installer waar aanvallers actief misbruik van maken bij aanvallen was al sinds januari bij Microsoft bekend. Dat meldt securitybedrijf SEC Consult dat het probleem bij Microsoft op 24 januari meldde. Het techbedrijf kwam afgelopen dinsdag met beveiligingsupdates voor de kwetsbaarheid. Via het beveiligingslek kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen en SYSTEM-rechten krijgen.

Microsoft meldt in het beveiligingsbulletin dat het bekend is met misbruik van de kwetsbaarheid (CVE-2024-38014), maar geeft geen verdere details over het waargenomen misbruik. Het probleem doet zich voor bij de verwerking van MSI-installers. Het MSI-bestandsformaat maakt het mogelijk om gestandaardiseerde installers te maken waarmee het mogelijk is om software te installeren, verwijderen en repareren.

Het installeren en verwijderen van software vereist vaak verhoogde rechten, maar de repareerfunctie voor al geïnstalleerde software kan ook door een gebruiker met lage rechten worden uitgevoerd. De repareerfunctie kan echter met SYSTEM-rechten worden uitgevoerd. Iets waar een aanvaller misbruik van kan maken om zelf SYSTEM-rechten te krijgen, waarmee het systeem volledig kan worden overgenomen.

SEC Consult waarschuwde Microsoft zoals gezegd op 24 januari. Op 8 februari bevestigde Microsoft het probleem en liet weten dat het in mei met een beveiligingsupdate zou komen. Deze datum werd vanwege de complexiteit en mogelijk impact van regressies vervolgens verzet naar juli, aldus het securitybedrijf. De beveiligingsupdate werd echter opnieuw uitgesteld, omdat Microsoft meer tijd voor de oplossing nodig had. Afgelopen dinsdag verscheen de patch voor alle ondersteunde Windowsversies. Daarop heeft SEC Consult nu de details openbaar gemaakt.