Ein Sicherheitsforscher hat einen Exploit für eine neue Windows-Zero-Day-Schwachstelle zur Erhöhung der lokalen Rechte veröffentlicht, die Administratorrechte in Windows 10, Windows 11 und Windows Server verleiht.
BleepingComputer hat den Exploit getestet und ihn verwendet, um die Eingabeaufforderung mit SYSTEM-Rechten von einem Konto mit nur geringen „Standard“-Rechten zu öffnen.
Mithilfe dieser Schwachstelle können Bedrohungsakteure mit begrenztem Zugriff auf ein kompromittiertes Gerät ihre Berechtigungen leicht erhöhen, um sich innerhalb des Netzwerks weiter auszubreiten.
Die Sicherheitslücke betrifft alle unterstützten Versionen von Windows, einschließlich Windows 10, Windows 11 und Windows Server 2022.
Forscher veröffentlicht Umgehung einer gepatchten Sicherheitslücke
Im Rahmen des November 2021 Patch Tuesday hat Microsoft die Sicherheitslücke „Windows Installer Elevation of Privilege Vulnerability“ mit der Bezeichnung CVE-2021-41379 behoben.
Diese Schwachstelle wurde von dem Sicherheitsforscher Abdelhamid Naceri entdeckt, der eine Umgehung des Patches und eine noch leistungsfähigere neue Zero-Day-Schwachstelle zur Erhöhung der Berechtigungen fand, nachdem er die Korrektur von Microsoft untersucht hatte.
Gestern veröffentlichte Naceri einen funktionierenden Proof-of-Concept-Exploit für die neue Zero-Day-Schwachstelle auf GitHub und erklärte, dass er auf allen unterstützten Versionen von Windows funktioniert.
„Diese Variante wurde während der Analyse des Patches CVE-2021-41379 entdeckt. Der Fehler wurde jedoch nicht korrekt behoben, anstatt den Bypass zu entfernen“, erklärt Naceri in seinem Beitrag. „Ich habe mich dafür entschieden, diese Variante tatsächlich fallen zu lassen, da sie leistungsfähiger ist als die ursprüngliche Variante.“
Darüber hinaus erklärte Naceri, dass es zwar möglich ist, Gruppenrichtlinien so zu konfigurieren, dass „Standard“-Benutzer an der Ausführung von MSI-Installationsvorgängen gehindert werden, sein Zero-Day jedoch diese Richtlinie umgeht und trotzdem funktioniert.
BleepingComputer hat Naceris „InstallerFileTakeOver“-Exploit getestet, und es dauerte nur wenige Sekunden, um SYSTEM-Rechte von einem Testkonto mit „Standard“-Rechten zu erlangen, wie im folgenden Video gezeigt wird.
Der Test wurde mit einem vollständig aktuellen Windows 10 21H1 Build 19043.1348 durchgeführt.
Als BleepingComputer Naceri fragte, warum er die Zero-Day-Schwachstelle öffentlich machte, wurde uns gesagt, dass er dies aus Frustration über Microsofts abnehmende Auszahlungen in ihrem Bug Bounty-Programm tat.
„Die Microsoft-Bounties sind seit April 2020 auf dem Rückzug. Ich würde das wirklich nicht tun, wenn MSFT nicht die Entscheidung getroffen hätte, diese Bounties herabzustufen“, erklärte Naceri.
Naceri ist nicht der Einzige, der sich über die von den Forschern empfundene Reduzierung der Bug-Bounty-Prämien Sorgen macht.
https://twitter.com/MalwareTechBlog/status/1287848085243060224
BE CAREFUL! Microsoft will reduce your bounty at any time! This is a Hyper-V RCE vulnerability be able to trigger from a Guest Machine, but it is just eligible for a $5000.00 bounty award under the Windows Insider Preview Bounty Program. Unfair! @msftsecresponse
— rthhh (@rthhh17) November 9, 2021
@msftsecurity pic.twitter.com/sJw3cjsliF
BleepingComputer hat sich mit Microsoft über die aufgedeckte Zero-Day-Schwachstelle in Verbindung gesetzt und wird diesen Artikel aktualisieren, sobald wir eine Antwort erhalten.
Wie bei Zero-Days üblich, wird Microsoft die Sicherheitslücke wahrscheinlich in einem zukünftigen Patch Tuesday-Update beheben.
Naceri warnte jedoch, dass es nicht ratsam ist, zu versuchen, die Schwachstelle zu beheben, indem man versucht, die Binärdatei zu patchen, da dies wahrscheinlich das Installationsprogramm beschädigen würde.
„Aufgrund der Komplexität dieser Schwachstelle besteht die beste Lösung darin, auf die Veröffentlichung eines Sicherheitspatches durch Microsoft zu warten“, erklärt Naceri.
„Jeder Versuch, die Binärdatei direkt zu patchen, wird den Windows Installer zerstören. Man sollte also abwarten, wie Microsoft den Patch wieder einbauen wird.“
Quelle: bleebingcomputer.com