Neue Zero-Day-Schwachstelle in Windows Installer betrifft alle Versionen von Microsofts Betriebssystem
Kurz gesagt: Die Computersicherheitsgruppe Cisco Talos hat eine neue Schwachstelle gefunden, die bisher alle Windows-Versionen betrifft, einschließlich Windows 11 und Server 2022. Die Schwachstelle existiert im Windows Installer und ermöglicht es Hackern, ihre Rechte zu erhöhen, um Administrator zu werden.
Die Entdeckung dieser Schwachstelle veranlasste die Cisco Talos-Gruppe, ihre Snort-Regeln zu aktualisieren, die aus Regeln zur Erkennung von Angriffen bestehen, die auf eine Liste von Schwachstellen abzielen. Die aktualisierte Regelliste umfasst unter anderem die Zero-Day-Elevation-of-Privilege-Schwachstelle sowie neue und geänderte Regeln für neu auftretende Bedrohungen von Browsern, Betriebssystemen und Netzwerkprotokollen.
Das Ausnutzen dieser Schwachstelle ermöglicht es Hackern mit eingeschränktem Benutzerzugriff, ihre Berechtigungen zu erhöhen und als Administrator des Systems zu agieren. Die Sicherheitsfirma hat bereits Malware-Samples im Internet gefunden, es besteht also eine gute Chance, dass jemand bereits Opfer davon geworden ist.
Die Schwachstelle war Microsoft zuvor von Abdelhamid Naceri, einem Sicherheitsforscher bei Microsoft, gemeldet worden und wurde angeblich am 9. November mit dem Fix CVE-2021-41379 gepatcht. Der Patch schien jedoch nicht auszureichen, um das Problem zu beheben. da das Problem weiterhin besteht, was Naceri veranlasst, den Proof-of-Concept auf GitHub zu veröffentlichen .
Einfach ausgedrückt zeigt der Proof-of-Concept, wie ein Hacker mithilfe der Discretionary Access Control List (DACL) für Microsoft Edge Elevation Service jede ausführbare Datei auf dem System durch eine MSI-Datei ersetzen kann.
Microsoft bewertete die Schwachstelle als „mittlerer Schweregrad” mit einem Basis-CVSS-Score (Common Vulnerability Scoring System) von 5,5 und einem temporalen Score von 4,8. Jetzt, da ein funktionsfähiger Proof-of-Concept-Exploit-Code verfügbar ist, könnten andere versuchen, ihn weiter zu missbrauchen und möglicherweise diese Punktzahl zu erhöhen. Im Moment muss Microsoft noch ein neues Update herausgeben, um die Schwachstelle zu mindern.
Naceri scheint versucht zu haben, die Binärdatei selbst zu patchen, aber ohne Erfolg. Bis Microsoft die Schwachstelle patcht, empfiehlt die Cisco Talos-Gruppe denjenigen, die eine sichere Cisco-Firewall verwenden, ihre Regelsätze mit den Snort-Regeln 58635 und 58636 zu aktualisieren, um die Benutzer vor dem Exploit zu schützen.