Nachrichten

Neue Sicherheitslücke in Windows Installer betrifft mehrere Systeme

Eine kürzlich bekannt gewordene Zero-Day-Schwachstelle in Microsoft Windows Installer wird von Personen untersucht, die mit dem Sicherheitsbereich vertraut sind. Die Schwachstelle, die der Sicherheitsforscher Abdelhamid Naceri am Sonntag in einem GitHub-Beitrag enthüllte, ermöglicht es, Berechtigungen auf Benutzerebene auf dem System bis zum „System“ Niveau.

Laut dem Forscher kann diese Sicherheitsanfälligkeit alle Versionen von Windows betreffen, einschließlich vollständig gepatchter Installationen von Windows 11 und Windows Server 2022. Bevor Naceri die Schwachstelle auf GitHub veröffentlichte, meldete sie sie Microsoft und arbeitete mit dem Unternehmen zusammen, um die Schwachstelle zu analysieren.

Obwohl Microsoft im Dienstags-Patch vom November 2021 einige Fixes für die Zero-Day-Schwachstelle CVE-2021-41379 veröffentlicht hat, scheint das Problem nicht vollständig behoben zu sein. Abdelhamid Naceri beschrieb die Schwachstelle später in seinem GitHub-Post, der auch nach den Maßnahmen von Microsoft zur Eindämmung des Fehlers funktionierte.

Der beschriebene Exploit nutzt die optionale Zugriffskontrollliste (DACL) für Microsoft Edge Elevation Service. Auf diese Weise kann ein Angreifer jede ausführbare Datei auf dem System durch ein MSI-Dokument (Microsoft Installer) ersetzen und Code als Administrator ausführen. BleepingComputer testete Naceris Exploit und konnte mit „system“ auf eine laufende Eingabeaufforderung zugreifen. Berechtigungen von einem Konto mit niedrigem 'Standard' Privilegien.

Naceri erklärte, dass „die Beweise sehr glaubwürdig sind und nichts erfordern, also funktioniert es jedes Mal.“ Auch bei der Schwachstellenminderung überlässt der Forscher Microsoft:

Die beste diskontinuierliche Analyse, die zum Zeitpunkt des Schreibens verfügbar ist, besteht darin, aufgrund der Komplexität dieser Sicherheitsanfälligkeit zu warten, bis Microsoft einen Sicherheitspatch veröffentlicht.

Zu dieser Angelegenheit sagte ein Microsoft-Sprecher gegenüber BleepingComputer:

„Wir sind uns der Offenlegung bewusst und werden alles tun, um die Sicherheit und den Schutz unserer Kunden zu gewährleisten. Ein Angreifer, der die beschriebenen Formeln verwendet, muss über Selbstzugriff und die Fähigkeit verfügen, Code auf dem Computer des beabsichtigten Opfers auszuführen. ”

Microsoft stufte diese Sicherheitsanfälligkeit zunächst als moderat ein (mit einem CVSS-Kernwert von 5,5 und einem diskontinuierlichen Wert von 4,8). Es scheint, dass der Schweregrad dieser Sicherheitsanfälligkeit erhöht werden muss und Microsoft bei Patches schneller handeln muss.

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.