[English]Das Sicherheitsteam von ACROS Security rund um den Gründer Mitja Kolsek hat jetzt den dritten Micro-Patch binnen zwei Wochen für eine von Sicherheitsforschern aufgedeckte Schwachstelle entwickelt und freigegeben. Beim aktuellen Micro-Patch geht es um eine 0-day InstallerTakeOver Local Privileg Escalation (LPE-) Schwachstelle in Windows, für die es noch keine CVE gibt. Mitja Kolsek hat mich die Nacht in einer privaten Nachricht auf Twitter über den Sachverhalt informiert. Hier einige Informationen dazu.
Anzeige
Die InstallerTakeOver LPE-Schwachstelle
Es gibt eine nicht gepatchte Local Privilege Escalation-Schwachstelle im Installer von Windows. Die Schwachstelle wurde vor wenigen Tagen von Sicherheitsforscher Abdelhamid Naceri über folgenden Tweet öffentlich gemacht. Der Sicherheitsforscher verweist auf seine GitHub-Seiten, wo er ein Proof of Concept (PoC) und einige Informationen veröffentlicht hat.
Mir war der Tweet sogar unter die Augen gekommen, ich hatte mir die Details aber nicht angeschaut. Diese ebenfalls ungepatchte Schwachstelle im Windows Installer ermöglicht es einem lokalen Benutzer (ohne Administrator-Privilegien), eine bestehende Datei zu überschreiben, auf die er keine Schreibrechte hat, und dann deren Inhalt beliebig zu ändern. Dies kann leicht für eine lokale Privilegienerweiterung (LPE, Local Privileg Escalation) missbraucht werden, indem eine vertrauenswürdige ausführbare Systemdatei mit eigenem Code überschrieben wird. Das PoC von Abdelhamids POC demonstriert dies, indem er eine Eingabeaufforderung als Lokales System startet.
Die Schwachstelle hängt mit der Art und Weise zusammen, wie der Windows Installer eine RBF-Datei (Rollback File) erstellt. Dies ist eine Datei, die den Inhalt aller während des Installationsprozesses gelöschten oder geänderten Dateien speichert. Diese Rollback-Datei ermöglicht, dass alle Dateien im Falle eines Rollbacks in ihrem ursprünglichen Zustand wiederhergestellt werden können. Die RBF-Datei wird entweder im Ordner C:\Config.msi oder im Ordner C:\Windows\Installer\Config.msi erstellt (die Logik, welcher Ordner genutzt wird, ist aktuell nicht ganz verstanden).
Anzeige
Sollte die RBF-Datei im Ordner C:\Windows\Installer\Config.msi * erstellt werden, wird sie später an einen bekannten Ort im Temp-Ordner des initiierenden Benutzers verschoben, wo die Dateiberechtigungen ebenfalls geändert werden, um dem Benutzer Schreibzugriff zu geben. Abdelhamid bemerkte, dass ein symbolischer Link anstelle der eingehenden RBF-Datei erstellt werden kann, was dazu führt, dass die RBF-Datei von C:\Windows\Installer\Config.msi in eine andere, vom Benutzer ausgewählte Datei auf dem System verschoben wird. Da Windows Installer als Lokales System ausgeführt wird, kann jede Datei, die vom Lokalen System beschreibbar ist, vom lokalen Benutzer überschrieben und beschreibbar gemacht werden.
Nach Angaben von Cisco Talos wird diese Schwachstelle bereits ausgenutzt. Aber es gibt weder eine CVE noch einen Patch für die Schwachstelle – die Sicherheitslücke kann auch auf voll gepatchten Windows 11-Systemen oder Windows Server 2022 mit den Sicherheitsupdates von November 2021 ausgenutzt werden.
Die 0Patch-Lösung für die InstallerTakeOver LPE-Schwachstelle
Das Team von ACROS Security, welches seit Jahren die 0Patch-Lösung bereitstellt, hat die LPE-Schwachstelle analysiert und stellte einen Micropatch bereit, um die Schwachstelle unschädlich zu machen. Mitja Kolsek hat über Twitter auf diese kostenlose Lösung aufmerksam gemacht.
Das Ganze wird in diesem Blog-Beitrag vom 2. Dezember 2021 von 0patch detaillierter beschrieben. Die 0patch Micropatches stehen kostenlos für folgende Produkte bereit:
- Windows 10 v21H1 (32 & 64 bit) updated with November 2021 Updates
- Windows 10 v20H2 (32 & 64 bit) updated with November 2021 Updates
- Windows 10 v2004 (32 & 64 bit) updated with November 2021 Updates
- Windows 10 v1909 (32 & 64 bit) updated with November 2021 Updates
- Windows 10 v1903 (32 & 64 bit) updated with November 2021 Updates
- Windows 10 v1809 (32 & 64 bit) updated with May 2021 Updates
- Windows 10 v1803 (32 & 64 bit) updated with May 2021 Updates
- Windows 10 v1709 (32 & 64 bit) updated with October 2020 Updates
- Windows 7 ESU (32 & 64 bit) updated with November 2021 Updates
- Windows Server 2019 updated with November 2021 Updates
- Windows Server 2016 updated with November 2021 Updates
- Windows Server 2012 R2 updated with November 2021 Updates
- Windows Server 2012 updated with November 2021 Updates
- Windows Server 2008 R2 ESU (32 & 64 bit) updated with November 2021 Updates
0patch schreibt, dass Windows 7 und Server 2008 R2 ohne ESU (Erweiterte Sicherheitsupdates), die ACROS Security als sicherheitsrelevant eingestuft habt, scheinen nicht anfällig zu sein. Zu beachten ist, dass der POC von Abdelhamid auch unter Windows 11 und wahrscheinlich Windows Server 2022 funktioniert. ACROS Security unterstützt diese Windows-Versionen aber noch nicht.
Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier).
Ähnliche Artikel
Angriff über Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)
MSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt
Desaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch
Patchday-Nachlese Sept. 2021: Update zur MSHTML-Schwachstelle CVE-2021-40444
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)
Windows 10: 0patch-Fix für MSHTML-Schwachstelle (CVE-2021-40444)
0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service
0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service
Anzeige
Microsoft sollte oPatch kaufen, damit könnte MS die Zeit bis zum allmonatlichen Patchday, also bis es einen richtigen Patch gibt, überbrücken. Ohne den Segen von MS finde ich den Weg von oPatch riskant, weil man im Zweifelsfall, wenn was nach einem oPatch nicht mehr funktioniert, keinen Support von MS erwarten kann. Privat mag das Ok sein, aber im Betrieb geht das halt nicht.