{"id":260136,"date":"2021-12-03T11:29:13","date_gmt":"2021-12-03T10:29:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260136"},"modified":"2021-12-24T01:14:29","modified_gmt":"2021-12-24T00:14:29","slug":"0patch-fixt-installertakeover-lpe-schwachstelle-in-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/03\/0patch-fixt-installertakeover-lpe-schwachstelle-in-windows\/","title":{"rendered":"0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows"},"content":{"rendered":"

\"Windows\"[English<\/a>]Das Sicherheitsteam von ACROS Security rund um den Gr\u00fcnder Mitja Kolsek hat jetzt den dritten Micro-Patch binnen zwei Wochen f\u00fcr eine von Sicherheitsforschern aufgedeckte Schwachstelle entwickelt und freigegeben. Beim aktuellen Micro-Patch geht es um eine 0-day InstallerTakeOver Local Privileg Escalation (LPE-) Schwachstelle in Windows, f\u00fcr die es noch keine CVE gibt. Mitja Kolsek hat mich die Nacht in einer privaten Nachricht auf Twitter \u00fcber den Sachverhalt informiert. Hier einige Informationen dazu.<\/p>\n

<\/p>\n

Die InstallerTakeOver LPE-Schwachstelle<\/h2>\n

Es gibt eine nicht gepatchte Local Privilege Escalation-Schwachstelle im Installer von Windows. Die Schwachstelle wurde vor wenigen Tagen von Sicherheitsforscher Abdelhamid Naceri<\/a> \u00fcber folgenden Tweet<\/a> \u00f6ffentlich gemacht. Der Sicherheitsforscher verweist auf seine GitHub-Seiten, wo er ein Proof of Concept (PoC) und einige Informationen ver\u00f6ffentlicht hat.<\/p>\n

\"Windows<\/a><\/p>\n

Mir war der Tweet sogar unter die Augen gekommen, ich hatte mir die Details aber nicht angeschaut. Diese ebenfalls ungepatchte Schwachstelle im Windows Installer erm\u00f6glicht es einem lokalen Benutzer (ohne Administrator-Privilegien), eine bestehende Datei zu \u00fcberschreiben, auf die er keine Schreibrechte hat, und dann deren Inhalt beliebig zu \u00e4ndern. Dies kann leicht f\u00fcr eine lokale Privilegienerweiterung (LPE, Local Privileg Escalation) missbraucht werden, indem eine vertrauensw\u00fcrdige ausf\u00fchrbare Systemdatei mit eigenem Code \u00fcberschrieben wird. Das PoC von Abdelhamids POC demonstriert dies, indem er eine Eingabeaufforderung als Lokales System <\/em>startet.<\/p>\n

Die Schwachstelle h\u00e4ngt mit der Art und Weise zusammen, wie der Windows Installer eine RBF-Datei (Rollback File) erstellt. Dies ist eine Datei, die den Inhalt aller w\u00e4hrend des Installationsprozesses gel\u00f6schten oder ge\u00e4nderten Dateien speichert. Diese Rollback-Datei erm\u00f6glicht, dass alle Dateien im Falle eines Rollbacks in ihrem urspr\u00fcnglichen Zustand wiederhergestellt werden k\u00f6nnen. Die RBF-Datei wird entweder im Ordner C:\\Config.msi oder im Ordner C:\\Windows\\Installer\\Config.msi erstellt (die Logik, welcher Ordner genutzt wird, ist aktuell nicht ganz verstanden).<\/p>\n

Sollte die RBF-Datei im Ordner C:\\Windows\\Installer\\Config.msi * erstellt werden, wird sie sp\u00e4ter an einen bekannten Ort im Temp-Ordner des initiierenden Benutzers verschoben, wo die Dateiberechtigungen ebenfalls ge\u00e4ndert werden, um dem Benutzer Schreibzugriff zu geben. Abdelhamid bemerkte, dass ein symbolischer Link anstelle der eingehenden RBF-Datei erstellt werden kann, was dazu f\u00fchrt, dass die RBF-Datei von C:\\Windows\\Installer\\Config.msi in eine andere, vom Benutzer ausgew\u00e4hlte Datei auf dem System verschoben wird. Da Windows Installer als Lokales System ausgef\u00fchrt wird, kann jede Datei, die vom Lokalen System beschreibbar ist, vom lokalen Benutzer \u00fcberschrieben und beschreibbar gemacht werden.<\/p>\n

Nach Angaben von Cisco Talos wird diese Schwachstelle bereits ausgenutzt<\/a>. Aber es gibt weder eine CVE noch einen Patch f\u00fcr die Schwachstelle – die Sicherheitsl\u00fccke kann auch auf voll gepatchten Windows 11-Systemen oder Windows Server 2022 mit den Sicherheitsupdates von November 2021 ausgenutzt werden.<\/p>\n

Die 0Patch-L\u00f6sung f\u00fcr die InstallerTakeOver LPE-Schwachstelle<\/h2>\n

Das Team von ACROS Security, welches seit Jahren die 0Patch-L\u00f6sung bereitstellt, hat die LPE-Schwachstelle analysiert und stellte einen Micropatch bereit, um die Schwachstelle unsch\u00e4dlich zu machen. Mitja Kolsek hat \u00fcber Twitter<\/a> auf diese kostenlose L\u00f6sung aufmerksam gemacht.<\/p>\n

\"0patch<\/a><\/p>\n

Das Ganze wird in diesem Blog-Beitrag<\/a>\u00a0 vom 2. Dezember 2021 von 0patch detaillierter beschrieben. Die 0patch Micropatches stehen kostenlos f\u00fcr folgende Produkte bereit:<\/p>\n

    \n
  1. Windows 10 v21H1 (32 & 64 bit) <\/b>updated with November 2021 Updates<\/li>\n
  2. Windows 10 v20H2 (32 & 64 bit)<\/b> <\/b>updated with November 2021 Updates<\/li>\n
  3. Windows 10 v2004 (32 & 64 bit)<\/b> <\/b>updated with November 2021 Updates<\/li>\n
  4. Windows 10 v1909 (32 & 64 bit)<\/b> <\/b>updated with November 2021 Updates<\/li>\n
  5. Windows 10 v1903 (32 & 64 bit)<\/b> <\/b>updated with November 2021 Updates<\/li>\n
  6. Windows 10 v1809 (32 & 64 bit)<\/b> <\/b>updated with May 2021 Updates<\/li>\n
  7. Windows 10 v1803 (32 & 64 bit)<\/b> <\/b>updated with May 2021 Updates<\/li>\n
  8. Windows 10 v1709 (32 & 64 bit)<\/b> <\/b>updated with October 2020 Updates<\/li>\n
  9. Windows 7 ESU<\/b> (32 & 64 bit)<\/b> updated with November 2021 Updates<\/li>\n
  10. Windows Server 2019<\/b> updated with November 2021 Updates<\/li>\n
  11. Windows Server 2016<\/b> updated with November 2021 Updates<\/li>\n
  12. Windows Server 2012 R2<\/b> updated with November 2021 Updates<\/li>\n
  13. Windows Server 2012<\/b> updated with November 2021 Updates<\/li>\n
  14. Windows Server 2008 R2 ESU<\/b> (32 & 64 bit)<\/b> updated with November 2021 Updates<\/li>\n<\/ol>\n

    0patch schreibt, dass Windows 7 und Server 2008 R2 ohne ESU (Erweiterte Sicherheitsupdates), die ACROS Security als sicherheitsrelevant eingestuft habt, scheinen nicht anf\u00e4llig zu sein. Zu beachten ist, dass der POC von Abdelhamid auch unter Windows 11 und wahrscheinlich Windows Server 2022 funktioniert. ACROS Security unterst\u00fctzt diese Windows-Versionen aber noch nicht.<\/p>\n

    Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (wie z.B. hier<\/a>).<\/p>\n

    \u00c4hnliche Artikel
    \n<\/strong>    Angriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a>
    \n    MSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt<\/a>
    \n    Desaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch<\/a>
    \n<\/strong>    Patchday-Nachlese Sept. 2021: Update zur MSHTML-Schwachstelle CVE-2021-40444<\/a><\/p>\n

    Windows 7: Februar 2020-Sicherheitsupdates erzwingen<\/a> \u2013 Teil 1
    \n    Windows 7: Mit der 0patch-L\u00f6sung absichern<\/a> \u2013 Teil 2
    \n    Windows 7\/Server 2008\/R2: 0patch liefert Sicherheitspatches nach Supportende<\/a>
    \n    Windows 7\/Server 2008\/R2 Life Extension-Projekt & 0patch Probemonat<\/a>
    \n    0patch: Fix f\u00fcr Internet Explorer 0-day-Schwachstelle CVE-2020-0674<\/a>
    \n    0patch-Fix f\u00fcr Windows Installer-Schwachstelle CVE-2020-0683<\/a>
    \n    0patch-Fix f\u00fcr Windows GDI+-Schwachstelle CVE-2020-0881<\/a>
    \n    0-Day-Schwachstelle in Windows Adobe Type Library<\/a>
    \n    0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a>
    \n    0patch fixt CVE-2020-0687 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1048 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1015 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1281 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1337 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1530 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1013 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec<\/a>
    \n    0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle<\/a>
    \n    0patch fixt 0-day im Internet Explorer<\/a>
    \n    0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2<\/a>
    \n    0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)<\/a>
    \n    0Patch bietet Support f\u00fcr Windows 10 Version 1809 nach EOL<\/a>
    \n    Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959<\/a>
    \n    0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
    \n    0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
    \n    0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a>
    \n    2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a>
    \n    Windows 10: 0patch-Fix f\u00fcr MSHTML-Schwachstelle (CVE-2021-40444)<\/a>
    \n    0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service<\/a>
    \n    0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Das Sicherheitsteam von ACROS Security rund um den Gr\u00fcnder Mitja Kolsek hat jetzt den dritten Micro-Patch binnen zwei Wochen f\u00fcr eine von Sicherheitsforschern aufgedeckte Schwachstelle entwickelt und freigegeben. Beim aktuellen Micro-Patch geht es um eine 0-day InstallerTakeOver Local Privileg Escalation … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694,2557],"tags":[7875,4328,3288],"class_list":["post-260136","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","category-windows-server","tag-0patch","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260136","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260136"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260136\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260136"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260136"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260136"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}