{"id":259709,"date":"2021-11-23T02:26:43","date_gmt":"2021-11-23T01:26:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259709"},"modified":"2023-02-20T08:18:50","modified_gmt":"2023-02-20T07:18:50","slug":"0-day-lpe-schwachstelle-im-windows-installer-nov-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/23\/0-day-lpe-schwachstelle-im-windows-installer-nov-2021\/","title":{"rendered":"0-Day LPE-Schwachstelle im Windows Installer (Nov. 2021)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/11\/23\/0-day-lpe-schwachstelle-im-windows-installer-nov-2021\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Ein Sicherheitsforscher hat eine eine 0-Day-Schwachstelle im Windows Installer gefunden, \u00fcber die ein lokaler Angreifer Administratorrechte erlangen kann. Die 'Windows Installer Elevation of Privilege\"-Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-41379\" target=\"_blank\" rel=\"noopener\">CVE-2021-41379<\/a> ist zwar im November 2021 gepatcht worden. Aber es gibt eine Umgehungsl\u00f6sung, der Patch ist wirkungslos. Betroffen sind alle Windows-Versionen, einschlie\u00dflich Windows 10, dass brandneue Windows 11 sowie alle Windows Server-Versionen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/13ea13e9b166458db1ac310f4df4c1e0\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin vor einigen Stunden auf den nachfolgenden <a href=\"https:\/\/twitter.com\/wdormann\/status\/1462607586272976901\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Will Dormann gesto\u00dfen, der das Problem kurz anreist und auf die Erkenntnisse von Sicherheitsforscher Abdelhamid Naceri verweist.<\/p>\n<p><a href=\"https:\/\/twitter.com\/wdormann\/status\/1462607586272976901\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"0-day LPE in Windows installer\" src=\"https:\/\/i.imgur.com\/NOnBPoQ.png\" alt=\"0-day LPE in Windows installer\" \/><\/a><\/p>\n<p>In einem <a href=\"https:\/\/twitter.com\/jonasLyk\/status\/1462611538892763141\" target=\"_blank\" rel=\"noopener\">Folge-Tweet<\/a> fragt ein Sicherheitsforscher nach Details und erh\u00e4lt von Will Dormann die Antwort, dass die Ausnutzung nach einer primitiven Strategie erfolge: Es wird eine eingeplante Aufgabe angesprochen, von der die Privilegien geerbt werden. Bei der n\u00e4chsten Code-Ausf\u00fchrung l\u00e4uft der Prozess mit den jeweiligen Privilegien.<\/p>\n<p><a href=\"https:\/\/twitter.com\/jonasLyk\/status\/1462611538892763141\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"0-day LPE in Windows installer\" src=\"https:\/\/i.imgur.com\/L7qmsjo.png\" alt=\"0-day LPE in Windows installer\" \/><\/a><\/p>\n<p>Wer den Weg \u00fcber die Aufgabenplanung scheut, kann mit dem gleichen Proof of Concept (POC) eine Datei erstellen, die nicht an einem anderweitig gesch\u00fctzten Ort existiert (z. B. c:\\windows\\wptsextensions.dll). Dann l\u00e4sst an diesem Ort ablegen, was ein Angreifer will, er muss nur auf den Neustart des Computers warten.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/PzOk8lH.png\" \/><\/p>\n<p>Sicherheitsforscher Abdelhamid Naceri hat auf Github den InstallerFile-Takeover Exploit ver\u00f6ffentlicht. Die Variante der Schwachstelle wurde von ihm w\u00e4hrend der Analyse des Patches CVE-2021-41379 entdeckt. Denn die urspr\u00fcngliche 'Windows Installer Elevation of Privilege\"-Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-41379\" target=\"_blank\" rel=\"noopener\">CVE-2021-41379<\/a> wurde zwar im November 2021 gepatcht. Der von Naceri urspr\u00fcnglich gemeldete Fehler wurde jedoch nicht korrekt behoben bzw. beseitigt. Abdelhamid Naceri hat daher gleich einen Proof of Concept (PoC) Exploit zur Ausnutzung der Schwachstelle ver\u00f6ffentlicht.<\/p>\n<p>Der PoC \u00fcberschreibt den Microsoft Edge-Elevation Service DACL,\u00a0 kopiert sich selbst an den Speicherort des Dienstes und f\u00fchrt ihn aus, um erh\u00f6hte Rechte zu erhalten. Diese Technik funktioniert laut Naceri zwar nicht bei jeder Installation, da Windows-Installationen wie Server 2016 und 2019 m\u00f6glicherweise nicht \u00fcber den Elevation Service DACL verf\u00fcgen.<\/p>\n<p>Die Kollegen von Bleeping Computer hatten mit Naceri Kontakt, wie sie <a href=\"https:\/\/web.archive.org\/web\/20230210013153\/https:\/\/www.bleepingcomputer.com\/news\/microsoft\/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> schreiben. Auf die Frage, warum er die 0-day-Schwachstelle \u00f6ffentlich macht, sagte er, dass er dies aus Frustration \u00fcber Microsofts sinkende Pr\u00e4mien im Rahmen des Bug-Bounty-Programms tat. Naceri dazu:<\/p>\n<blockquote><p>Die Microsoft-Bounties sind seit April 2020 im sinken. Ich w\u00fcrde das wirklich nicht tun, wenn MSFT nicht die Entscheidung getroffen h\u00e4tte, diese Bounties herabzustufen.<\/p><\/blockquote>\n<p>Bleeping Computer f\u00fchrt im Artikel weitere Sicherheitsforscher mit \u00e4hnlichen Aussagen auf. So beschwert sich Malwaretech im Sommer 2020 auf <a href=\"https:\/\/twitter.com\/MalwareTechBlog\/status\/1287848085243060224\" target=\"_blank\" rel=\"noopener\">Twitter<\/a>, dass eine Bug-Bounty-Pr\u00e4mie von 10.000 US-Dollar auf 1.000 Dollar zusammengestrichen worden sei. Ein weiterer verschnupfter Sicherheitsforscher wurde im Hyper-V-Bereich so \u00fcber den L\u00f6ffel balbiert.<\/p>\n<p>Stellt sich die Frage, wie schnell Microsoft reagiert und ob ein Patch im Dezember 2021 freigegeben wird. Denn es sind alle Windows-Client-Versionen sowie die Windows Server-Versionen von der Schwachstelle betroffen.<\/p>\n<p><strong>Erg\u00e4nzungen:<\/strong> Inzwischen wird die Schwachstelle ausgenutzt (siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/25\/windows-0-day-im-installer-und-schwachstelle-in-mshtml-werden-ausgenutzt\/\">Windows 0-day im Installer und Schwachstelle in MSHTML werden ausgenutzt<\/a>). Und der Sicherheitsanbieter logpoint hat <a href=\"https:\/\/www.logpoint.com\/de\/blog\/erkennung-der-privilege-escalation-schachstelle-cve-2021-41379\/\" target=\"_blank\" rel=\"nofollow, noopener\">hier einen Beitrag<\/a> mit Hinweisen zur Erkennung der Schwachstellenausnutzung ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Sicherheitsforscher hat eine eine 0-Day-Schwachstelle im Windows Installer gefunden, \u00fcber die ein lokaler Angreifer Administratorrechte erlangen kann. Die 'Windows Installer Elevation of Privilege\"-Schwachstelle CVE-2021-41379 ist zwar im November 2021 gepatcht worden. Aber es gibt eine Umgehungsl\u00f6sung, der Patch ist &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/23\/0-day-lpe-schwachstelle-im-windows-installer-nov-2021\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694],"tags":[4328,4378,8257,4364],"class_list":["post-259709","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","tag-sicherheit","tag-windows-10","tag-windows-11","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259709","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259709"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259709\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259709"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259709"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259709"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}