Windows 10 Privilege-Escalation Zero-Day erhält inoffiziellen Fix

  • Forscher warnen, dass CVE-2021-34484 mit einer Patch-Umgehung für einen Fehler ausgenutzt werden kann, der ursprünglich im August von Microsoft behoben wurde.

    Eine teilweise ungepatchte Sicherheitslücke in Windows, die eine lokale Rechteerweiterung von einem normalen Benutzer auf das System ermöglichen könnte, wurde von Microsoft noch nicht vollständig behoben – aber ein inoffizieller Mikropatch von oPatch ist jetzt verfügbar.

    Der Fehler (CVE-2021-34484) wurde ursprünglich als Teil von Microsofts Patch Tuesday-Updates im August bekannt gegeben und gepatcht. Damals wurde er als Problem bei der willkürlichen Löschung von Verzeichnissen eingestuft, das als niedrig priorisiert galt, da ein Angreifer sich lokal auf dem Zielcomputer anmelden müsste, um ihn auszunutzen, was es dem Angreifer theoretisch ermöglichen würde, Dateiordner trotzdem zu löschen.

    Der Sicherheitsforscher Abdelhamid Naceri, der diese Funktion entdeckte, fand jedoch bald heraus, dass sie auch zur Ausweitung von Privilegien verwendet werden kann, was eine ganz andere Sache ist. Benutzer der Systemebene haben Zugriff auf Ressourcen, Datenbanken und Server in anderen Teilen des Netzwerks.

    Abdelhamid nahm auch den ursprünglichen Patch von Microsoft unter die Lupe und fand anschließend eine Umgehung des Patches durch eine einfache Änderung des von ihm entwickelten Exploit-Codes, wodurch der Patch im Wesentlichen wieder zum Zero-Day-Status zurückgesetzt wurde.

    Umgehung von CVE-2021-34484 als 0dayhttps://t.co/W0gnYHxJ6B

    – Abdelhamid Naceri (@KLINIX5) 22. Oktober 2021

    “Die Schwachstelle liegt im User Profile Service, speziell im Code, der für die Erstellung eines temporären Benutzerprofilordners verantwortlich ist, falls der ursprüngliche Profilordner des Benutzers aus irgendeinem Grund beschädigt oder gesperrt ist”, erklärte Mitja Kolsek von 0Patch in einem Bericht vom Donnerstag. “Abdelhamid fand heraus, dass der Prozess (ausgeführt als Lokales System) des Kopierens von Ordnern und Dateien aus dem ursprünglichen Profilordner des Benutzers in den temporären Ordner mit symbolischen Links angegriffen werden kann, um vom Angreifer beschreibbare Ordner an einem Speicherort im System zu erstellen, von dem aus ein anschließend gestarteter Systemprozess die DLL des Angreifers laden und ausführen würde.

    Melden Sie sich jetzt für unsere LIVE-Veranstaltung an!

    Die Sicherheitslücke ist ganz einfach: Ein Angreifer erstellt einen speziell gestalteten symbolischen Link (im Wesentlichen eine Verknüpfung, die auf eine bestimmte Datei oder einen bestimmten Ordner verweist) und muss diesen dann im temporären Benutzerprofilordner (C:UsersTEMP) speichern.

    Wenn der Benutzerprofildienst dann, wie von Kolsek beschrieben, einen Ordner aus dem ursprünglichen Profilordner des Benutzers kopiert, wird er durch den symbolischen Link gezwungen, einen Ordner mit einer bösartigen Bibliotheksnutzlast (DLL) an einem anderen Ort zu erstellen, an dem der Angreifer normalerweise keine Berechtigung zum Erstellen einer solchen hat.

    “Obwohl Microsoft davon ausging, dass die Schwachstelle nur das Löschen eines beliebigen ‘Symlink’-Ordners zulässt, nahm es eine konzeptionell korrekte Korrektur vor: Es überprüfte, ob es sich bei dem Zielordner unter C:UsersTEMP um einen symbolischen Link handelte, und brach die Operation ab, wenn dies der Fall war”, erklärte Kolsek. “Die Unvollständigkeit dieses Fixes lag, wie Abdelhamid feststellte, in der Tatsache, dass der symbolische Link nicht im obersten Ordner liegen muss (was Microsofts Fix überprüfte), sondern in einem beliebigen Ordner entlang des Zielpfads.”

    Der Micropatch behebt dies, indem er die Sicherheitsüberprüfung für symbolische Links auf den gesamten Zielpfad ausweitet, indem er die Funktion “GetFinalPathNameByHandle” aufruft.

    Es sollte angemerkt werden, dass ein praktikabler Exploit auch voraussetzt, dass Angreifer in der Lage sind, eine Race Condition (mit unbegrenzten Versuchen) zu gewinnen, da das System versuchen wird, zwei Operationen (eine bösartige und eine legitime) gleichzeitig durchzuführen. Auch wenn Abdelhamid sagte, dass “es möglich sein könnte [exploit] ohne jemanden zu kennen [else’s] Passwort zu kennen”, so Kolsek, ist es bisher noch ein Hindernis, die Benutzerdaten des Zielcomputers zu kennen.

    Der Fehler betrifft Windows 10 (32 und 64 Bit), Versionen v21H1, v20H2, v2004 und v1909; und Windows Server 2019 64 Bit.

    Microsoft hat keinen Zeitplan für die Aktualisierung seines offiziellen Patches veröffentlicht und hat nicht sofort auf eine Anfrage für einen Kommentar reagiert.

    Möchten Sie die Kontrolle über die fadenscheinigen Passwörter zurückgewinnen, die zwischen Ihrem Netzwerk und dem nächsten Cyberangriff stehen? Darren James, Leiter der internen IT-Abteilung bei Specops, und Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, zeigen Ihnen in der kostenlosen LIVE-Veranstaltung “Password Reset”, wie das geht: Kontrolle über Anmeldeinformationen erlangen, um Angriffe zu stoppen”, am Mittwoch, den 17. November um 14 Uhr ET. Gesponsert von Specops.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung!

    Einige Teile dieses Artikels stammen aus:
    threatpost.com