0-Day LPE-Schwachstelle im Windows Installer (Nov. 2021)

Windows[English]Ein Sicherheitsforscher hat eine eine 0-Day-Schwachstelle im Windows Installer gefunden, über die ein lokaler Angreifer Administratorrechte erlangen kann. Die 'Windows Installer Elevation of Privilege"-Schwachstelle CVE-2021-41379 ist zwar im November 2021 gepatcht worden. Aber es gibt eine Umgehungslösung, der Patch ist wirkungslos. Betroffen sind alle Windows-Versionen, einschließlich Windows 10, dass brandneue Windows 11 sowie alle Windows Server-Versionen.


Anzeige

Ich bin vor einigen Stunden auf den nachfolgenden Tweet von Will Dormann gestoßen, der das Problem kurz anreist und auf die Erkenntnisse von Sicherheitsforscher Abdelhamid Naceri verweist.

0-day LPE in Windows installer

In einem Folge-Tweet fragt ein Sicherheitsforscher nach Details und erhält von Will Dormann die Antwort, dass die Ausnutzung nach einer primitiven Strategie erfolge: Es wird eine eingeplante Aufgabe angesprochen, von der die Privilegien geerbt werden. Bei der nächsten Code-Ausführung läuft der Prozess mit den jeweiligen Privilegien.

0-day LPE in Windows installer

Wer den Weg über die Aufgabenplanung scheut, kann mit dem gleichen Proof of Concept (POC) eine Datei erstellen, die nicht an einem anderweitig geschützten Ort existiert (z. B. c:\windows\wptsextensions.dll). Dann lässt an diesem Ort ablegen, was ein Angreifer will, er muss nur auf den Neustart des Computers warten.

Sicherheitsforscher Abdelhamid Naceri hat auf Github den InstallerFile-Takeover Exploit veröffentlicht. Die Variante der Schwachstelle wurde von ihm während der Analyse des Patches CVE-2021-41379 entdeckt. Denn die ursprüngliche 'Windows Installer Elevation of Privilege"-Schwachstelle CVE-2021-41379 wurde zwar im November 2021 gepatcht. Der von Naceri ursprünglich gemeldete Fehler wurde jedoch nicht korrekt behoben bzw. beseitigt. Abdelhamid Naceri hat daher gleich einen Proof of Concept (PoC) Exploit zur Ausnutzung der Schwachstelle veröffentlicht.

Der PoC überschreibt den Microsoft Edge-Elevation Service DACL,  kopiert sich selbst an den Speicherort des Dienstes und führt ihn aus, um erhöhte Rechte zu erhalten. Diese Technik funktioniert laut Naceri zwar nicht bei jeder Installation, da Windows-Installationen wie Server 2016 und 2019 möglicherweise nicht über den Elevation Service DACL verfügen.


Anzeige

Die Kollegen von Bleeping Computer hatten mit Naceri Kontakt, wie sie hier schreiben. Auf die Frage, warum er die 0-day-Schwachstelle öffentlich macht, sagte er, dass er dies aus Frustration über Microsofts sinkende Prämien im Rahmen des Bug-Bounty-Programms tat. Naceri dazu:

Die Microsoft-Bounties sind seit April 2020 im sinken. Ich würde das wirklich nicht tun, wenn MSFT nicht die Entscheidung getroffen hätte, diese Bounties herabzustufen.

Bleeping Computer führt im Artikel weitere Sicherheitsforscher mit ähnlichen Aussagen auf. So beschwert sich Malwaretech im Sommer 2020 auf Twitter, dass eine Bug-Bounty-Prämie von 10.000 US-Dollar auf 1.000 Dollar zusammengestrichen worden sei. Ein weiterer verschnupfter Sicherheitsforscher wurde im Hyper-V-Bereich so über den Löffel balbiert.

Stellt sich die Frage, wie schnell Microsoft reagiert und ob ein Patch im Dezember 2021 freigegeben wird. Denn es sind alle Windows-Client-Versionen sowie die Windows Server-Versionen von der Schwachstelle betroffen.

Ergänzungen: Inzwischen wird die Schwachstelle ausgenutzt (siehe Windows 0-day im Installer und Schwachstelle in MSHTML werden ausgenutzt). Und der Sicherheitsanbieter logpoint hat hier einen Beitrag mit Hinweisen zur Erkennung der Schwachstellenausnutzung veröffentlicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows, Windows 10 abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu 0-Day LPE-Schwachstelle im Windows Installer (Nov. 2021)

  1. daooze sagt:

    Hoffentlich wird das nicht das nächste PrintNightmare Desaster, an dessen Ende die komplette Update-Funktionalität kaputt gepatched ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.