Microsoft Patch behebt Installer-Zero-Day nicht, der alle Windows-Versionen betrifft
Die Schwachstelle, die es Hackern mit einem eingeschränkten Benutzerkonto ermöglicht, ihre Rechte zu erweitern und zum Administrator zu werden, betrifft jede Version von Microsoft Windows, einschließlich des vollständig gepatchten Windows 11 und Server 2022.
Laut einem Blog-Beitrag von Sicherheitsforschern bei Cisco Talos wurden bereits Malware-Samples in freier Wildbahn entdeckt, die versuchen, diese Sicherheitslücke auszunutzen.
Der Sicherheitsforscher Abdelhamid Naceri entdeckte die Sicherheitslücke und arbeitete mit Microsoft zusammen, um sie zu schließen. Microsoft veröffentlichte daraufhin am 9. November im Rahmen seines monatlichen Sicherheitsupdates ein Update, das CVE-2021-41379 beheben sollte.
Der Patch konnte die Schwachstelle jedoch nicht beheben, und Naceri veröffentlichte am 22. November einen Proof-of-Concept-Exploit-Code auf GitHub, der trotz der von Microsoft vorgenommenen Korrekturen immer noch funktioniert.
Der von Naceri veröffentlichte Code nutzt die DACL (Discretionary Access Control List) für den Microsoft Edge Elevation Service aus, um eine beliebige ausführbare Datei auf dem System durch eine MSI-Datei zu ersetzen, so dass ein Angreifer den Code als Administrator ausführen kann.
Laut einem Posting von Naceri auf GitHub funktioniert die Technik möglicherweise nicht bei jeder Installation, da Windows-Installationen wie Server 2016 und 2019 möglicherweise nicht über den Elevation-Dienst verfügen.
Ich habe den Code, der die Datei übernimmt, absichtlich offen gelassen, so dass jede Datei, die im ersten Argument angegeben wird, unter der Bedingung übernommen wird, dass das SYSTEM-Konto Zugriff darauf haben muss und die Datei nicht in Gebrauch sein darf. Sie können also Ihre Rechte selbst erhöhen.
Naceri fügte hinzu, dass die beste Umgehung darin besteht, auf die Veröffentlichung eines Sicherheitspatches zu warten, da diese Sicherheitslücke sehr komplex ist.
Jeder Versuch, die Binärdatei direkt zu patchen, würde den Windows Installer zerstören. Man sollte also abwarten und sehen, wie Microsoft den Patch wieder zusammenschraubt.