Ein Forscher entdeckte eine „leistungsfähigere“ Variante einer Sicherheitslücke, für die Microsoft Anfang des Monats einen verpfuschten Patch veröffentlicht hatte.
Angreifer nutzen aktiv eine Zero-Day-Schwachstelle in Windows Installer aus, die entdeckt wurde, als ein Patch, den Microsoft für eine andere Sicherheitslücke herausgab, das ursprüngliche und nicht damit zusammenhängende Problem nur unzureichend behob.
Am Wochenende entdeckte der Sicherheitsforscher Abdelhamid Naceri eine Windows Installer-Sicherheitslücke mit der Bezeichnung CVE-2021-41379, die von Microsoft vor einigen Wochen im Rahmen der November-Patch Tuesday-Updates geschlossen wurde.
Nach der Untersuchung der Korrektur fand Naceri jedoch eine Umgehung sowie einen noch besorgniserregenderen Zero-Day-Bug zur Erhöhung der Berechtigungen. Der Forscher veröffentlichte am Dienstag auf GitHub einen Proof of Concept (POC) für den neu entdeckten Fehler, der seiner Meinung nach auf allen derzeit unterstützten Windows-Versionen funktioniert.
Wenn er ausgenutzt wird, verleiht der POC mit der Bezeichnung InstallerFileTakeOver einem Akteur Administrationsrechte in Windows 10, Windows 11 und Windows Server, wenn er auf einem Windows-Rechner mit installiertem Edge angemeldet ist.
Peer Research bestätigt Exploit und aktive Angriffe
Forscher der Cisco Talos Security Intelligence and Research Group und andere bestätigten, dass der POC reproduziert werden kann und dass es Beweise dafür gibt, dass Bedrohungsakteure den Fehler bereits ausnutzen.
„Diese Sicherheitslücke betrifft jede Version von Microsoft Windows, einschließlich des vollständig gepatchten Windows 11 und Server 2022“, heißt es in einem Beitrag im Cisco Talos Blog von
Jaeson Schultz, technischer Leiter von Cisco Talos. „Talos hat bereits Malware-Samples in freier Wildbahn entdeckt, die versuchen, diese Sicherheitslücke auszunutzen.
Auch andere Forscher bestätigten auf Twitter, dass der POC wie angekündigt funktioniert und eine lokale Privilegienerweiterung ermöglicht.
„Ich kann bestätigen, dass dies funktioniert, lokaler priv esc“, twitterte der Sicherheitsforscher Kevin Beaumont, der sagte, dass er es auf Windows 10 20H2 und Windows 11 getestet hat. „Der vorherige Patch, den MS herausgegeben hat, hat das Problem nicht richtig behoben.“
Entdeckung und weitere Details
Wie von Microsoft beschrieben, handelt es sich bei CVE-2021-41379 um eine Sicherheitsanfälligkeit in Windows Installer mit erhöhten Rechten, die im Common Vulnerability Scoring System als niedrig eingestuft wird.
„Ein Angreifer wäre nur in der Lage, gezielte Dateien auf einem System zu löschen“, heißt es in den Hinweisen von Microsoft zu dieser Schwachstelle. „Er würde keine Berechtigungen zum Anzeigen oder Ändern von Dateiinhalten erlangen.
Microsofts Patch für den Fehler behebt die Schwachstelle jedoch nicht korrekt, so dass Naceri sie während seiner Analyse des Patches umgehen konnte, wie er in seinem GitHub-Beitrag zum POC erklärt.
Diese Umgehung war jedoch eine Kleinigkeit im Vergleich zu einer Variante von CVE-2021-41379, die er bei seinen Nachforschungen entdeckte und die „leistungsfähiger ist als die ursprüngliche“, weshalb Naceri sich entschied, stattdessen einen POC dieses Fehlers zu veröffentlichen, schrieb er.
Der von Naceri veröffentlichte Code nutzt die diskretionäre Zugriffskontrollliste (DACL) für den Microsoft Edge Elevation Service aus, um eine beliebige ausführbare Datei auf dem System durch eine MSI-Datei zu ersetzen, so dass ein Angreifer den Code als Administrator ausführen kann, erklärte Schultz von Cisco Talos in seinem Beitrag.
Warten Sie auf den Patch
Der zugehörige POC funktioniert in jeder unterstützenden Windows-Installation, einschließlich Windows 11 und Server 2022 mit dem November-2021-Patch, sowie in Server-Installationen, schrieb Naceri.
„Während die Gruppenrichtlinien standardmäßig keine MSI-Operationen zulassen, scheint die administrative Installationsfunktion die Gruppenrichtlinien komplett zu umgehen“, schrieb er.
Aufgrund der „Komplexität“ der Schwachstelle sagte Naceri, dass die beste Umgehung für die Schwachstelle derzeit darin besteht, auf die Veröffentlichung eines Sicherheitspatches durch Microsoft zu warten.
„Jeder Versuch, die Binärdatei direkt zu patchen, wird das Windows-Installationsprogramm zerstören“, schrieb er und fügte hinzu, dass die Betroffenen „abwarten sollten, wie Microsoft den Patch wieder einstellt“, bevor sie irgendwelche Abhilfemaßnahmen ergreifen.
Ein Microsoft-Sprecher erklärte gegenüber BleepingComputer, dass sich das Unternehmen der Veröffentlichung von Naceri bewusst sei und „alles Notwendige tun werde“, um die Kunden „sicher und geschützt“ zu halten.
„Ein Angreifer, der die beschriebenen Methoden anwendet, muss bereits Zugang und die Möglichkeit haben, Code auf dem Rechner eines Opfers auszuführen“, sagte der Sprecher laut dem Bericht.
Cybersecurity für Multi-Cloud-Umgebungen ist bekanntermaßen eine Herausforderung. OSquery und CloudQuery sind eine solide Lösung. Nehmen Sie an der Town Hall „An Intro to OSquery and CloudQuery“ mit Eric Kaiser, Senior Security Engineer bei Uptycs, teil und erfahren Sie, wie dieses Open-Source-Tool dazu beitragen kann, die Sicherheit auf dem gesamten Campus Ihres Unternehmens zu gewährleisten.
Registrieren Sie sich JETZT, um auf die On-Demand-Veranstaltung zuzugreifen!
Einige Teile dieses Artikels stammen aus:
threatpost.com
Abhörfehler in MediaTek-Chips betreffen 37% aller Smartphones und IoT weltweit