Ein Patch von 0Patch für die 0-Day-Schwachstelle -InstallerFileTakeOver- für Windows

Es gibt eine 0-Day-Schwachstelle für Windows, InstallerFileTakeOver genannt, die Microsoft noch nicht behoben hat. Die Schwachstelle wurde von Abdelhamid Naceri, einem Sicherheitsforscher, entdeckt, der in diesem Jahr bereits zwei andere 0-Day-Schwachstellen in Windows entdeckt hat.

Wir haben die Sicherheitslücke bereits auf dieser Webseite erwähnt. Damals war das Problem noch nicht gepatcht und Microsoft hat noch kein Sicherheitsupdate veröffentlicht, das die Schwachstelle behebt.

Das Micro-Patching-Unternehmen 0Patch hat diese Woche einen kostenlosen Patch für das Problem veröffentlicht, der allen Nutzern zur Verfügung steht. Der von 0Patch veröffentlichte Mikropatch ist für die nachfolgenden Betriebssysteme erhältlich:

  • Windows 10 Version 1709 bis 21H1
  • Windows 7 ESU
  • Windows Server 2012, 2012 R2, 2016, 2019
  • Windows Server 2008 R2 ESU

0Patch weist darauf hin, dass Nicht-ESU-Installationen von Windows 7 und Windows Server 2012 nicht von der Sicherheitslücke betroffen sind. Windows Server 2022 und Windows 11 sind wahrscheinlich ebenfalls betroffen, werden aber noch nicht offiziell vom Unternehmen unterstützt (daher kein Patch). Windows 8.1 wurde nicht analysiert, da das Interesse an dieser Windows-Version gering ist.

Die Sicherheitslücke macht sich Rollback-Dateien zunutze, die Windows Installer während der Installation erstellt. Darin werden Dateien gespeichert, die während des Installationsvorgangs gelöscht oder geändert werden, um ein Rollback zu ermöglichen. Die Rollback-Datei wird in Systemverzeichnissen erstellt und dann in einen temporären Ordner im Verzeichnis des Benutzers verschoben.

Naceri entdeckte, dass ein symbolischer Link an diesem Ort platziert werden kann, so dass die RBF-Datei an einen anderen Ort verschoben wird. Der symbolische Link verweist auf eine Datei auf dem System, die dann für den Benutzer zugänglich gemacht wird, vorausgesetzt, dass das lokale System Schreibzugriff auf sie hat.

Der von 0Patch erstellte Micropatch prüft, ob das Ziel für die Rollback-Dateioperation Abzweigungen oder Links enthält. Wenn dies der Fall ist, wird die Operation blockiert, andernfalls wird sie zugelassen.

Das Patchen von Systemen mit 0Patch-Micropatches erfordert ein kostenloses Konto bei 0Patch Central und die Installation und Registrierung des 0Patch Agent des Unternehmens. Der Patch wird automatisch angewendet, ein Neustart ist nicht erforderlich.


Weitere Details finden Sie im 0Patch-Blog.