Elevacija privilegija u Sysmonu

---

Sysmon, dio izuzetno korisnih SysInternalsa iz Microsofta, popularni je system monitor (ili Sysmon) koji prati i logira aktivnost sustava u Windows event log. Radi toga ga mnogi, a pogotovo sigurnosni stručnjaci, vole koristiti za prikupljanje korisnih podataka koje onda provuku kroz SIEM gdje imaju pregršt opcija za njihovu analizu.

Infigo IS-ov sigurnosni stručnjak, Filip Dragović, u tom alatu koji se često vrti na najvažnijim strojevima unutar organizacije, našao je ranjivost koja omogućuje lokalnom napadaču elevaciju privilegija – korištenjem ranjivosti lokalni autenticirani korisnik može dobiti administratorske privilegije.
Ranjivost je dobila na CVSS-u (Common Vulnerability Scoring System) oznaku ozbiljnosti od 7.8 / 6.8 (CVSS mjeri ozbiljnost, ne rizik) te službeni CVE-2022-41120. Više o ranjivosti možete pročitati u službenom unosu   Microsoft Security Response Centera.