Angreifer bemühen sich aktiv darum, eine neue Variante einer kürzlich bekannt gewordenen Schwachstelle zur Ausweitung von Berechtigungen auszunutzen, um möglicherweise beliebigen Code auf vollständig gepatchten Systemen auszuführen. Dies zeigt einmal mehr, wie schnell Angreifer eine öffentlich verfügbare Schwachstelle als Waffe einsetzen können.
Cisco Talos teilte mit, dass es „Malware-Samples in freier Wildbahn entdeckt hat, die versuchen, diese Sicherheitslücke auszunutzen“.
Die Sicherheitslücke mit der Bezeichnung CVE-2021-41379, die von dem Sicherheitsforscher Abdelhamid Naceri entdeckt wurde, betrifft die Softwarekomponente Windows Installer und wurde ursprünglich im Rahmen der Patch Tuesday Updates von Microsoft für November 2021 behoben.
Im Falle eines unzureichenden Patches stellte Naceri jedoch fest, dass es nicht nur möglich war, den von Microsoft implementierten Fix zu umgehen, sondern auch eine lokale Privilegienerweiterung über einen neu entdeckten Zero-Day-Bug zu erreichen.
Der Proof-of-Concept (PoC)-Exploit mit der Bezeichnung „InstallerFileTakeOver“ funktioniert, indem er die DACL (Discretionary Access Control List) für den Microsoft Edge Elevation Service überschreibt, um eine beliebige ausführbare Datei auf dem System durch eine MSI-Installationsdatei zu ersetzen, was einem Angreifer die Ausführung von Code mit SYSTEM-Rechten ermöglicht.
Ein Angreifer mit Administratorrechten könnte dann den Zugriff missbrauchen, um die vollständige Kontrolle über das kompromittierte System zu erlangen, einschließlich der Möglichkeit, zusätzliche Software herunterzuladen und auf dem Rechner gespeicherte vertrauliche Informationen zu ändern, zu löschen oder zu exfiltrieren.
„Kann bestätigen, dass dies funktioniert, lokaler priv esc. Getestet unter Windows 10 20H2 und Windows 11. Der vorherige Patch von MS hat das Problem nicht richtig behoben“, twitterte der Sicherheitsforscher Kevin Beaumont und bestätigte damit die Ergebnisse.
Naceri merkte an, dass die neueste Variante von CVE-2021-41379 „leistungsfähiger ist als die ursprüngliche“ und dass die beste Vorgehensweise darin bestünde, darauf zu warten, dass Microsoft einen Sicherheitspatch für das Problem veröffentlicht, „aufgrund der Komplexität dieser Sicherheitslücke“.
Es ist nicht ganz klar, wann Microsoft auf die Veröffentlichung der Schwachstelle reagieren und eine Korrektur herausgeben wird. Wir haben das Unternehmen um eine Stellungnahme gebeten und werden den Artikel aktualisieren, wenn wir eine Antwort erhalten.
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
VMware warnt vor neu entdeckten Sicherheitslücken im vSphere Web Client