av Martin Brinkmann 23. november 2021 i Sikkerhet – Ingen kommentarer
Sikkerhetsforsker Abdelhamid Naceri publiserte en offentlig utnyttelse på GitHub i går som lar hvem som helst få administrative rettigheter på Windows-enheter ved å bruke en uoppdatert utnyttelse. Utnyttelsen fungerer på alle støttede klient- og serverversjoner av Windows i henhold til Naceri, inkludert Windows 11 og Windows Server 2022 med de nyeste oppdateringene, sikkerhetsoppdateringer fra november 2021 i skrivende stund installert.
Vi bekreftet at utnytte på et Windows 10 versjon 21H2 testsystem. Utført lokalt på en standard brukerkonto, klarte vi å få økte privilegier ved å bruke utnyttelsen. Bleeping Computer testet også utnyttelsen og fant ut at den fungerte.
Microsoft lappet CVE-2021-41379 i november 2021-oppdateringene, en Windows Installer Elevation of Privilege Vulnerability, som også ble oppdaget av Naceri.
ANNONSE
Naceri fant en variant av den lappede utnyttelsen “under analyse av CVE-2021-41379”, og la merke til at det første problemet ikke ble rettet på riktig måte. Han bestemte seg for å ikke publisere en bypass for oppdateringen som Microsoft ga ut, og uttalte at den nye varianten han publiserte i stedet “er kraftigere enn den originale”.
Forskeren beskriver proof of concept på følgende måte :
Jeg har også sørget for at proof of concept er ekstremt pålitelig og ikke krever noe, så det fungerer i alle forsøk. The proof of concept overskriver Microsoft Edge elevasjonstjeneste DACL og kopierer seg selv til tjenestestedet og kjører det for å få økte privilegier.
Selv om denne teknikken kanskje ikke fungerer på hver installasjon, fordi Windows-installasjoner som server 2016 og 2019 har kanskje ikke heistjenesten. Jeg har bevisst latt koden som overtar filen åpen, så enhver fil spesifisert i det første argumentet vil bli overtatt med betingelsen om at SYSTEM-kontoen må ha tilgang til den og at filen ikke må være i bruk. Så du kan heve privilegiene dine selv.
ANNONSE
Å kjøre standard brukerkontoer, i stedet for kontoer med administrative rettigheter, anses som en god sikkerhetspraksis, da dette kan begrense hva vellykkede utnyttelser og angrep kan gjøre på et system.
Naceria bemerker at utnyttelsen hans ikke påvirkes av en policy som kan hindre standardbrukere fra å utføre MSI-operasjoner.
Han planlegger å droppe omgåelsen til sikkerhetsproblemet som ble rettet i november 2021 etter at Microsoft har produsert en oppdatering for sikkerhetsproblemet som er omtalt i denne artikkelen.
ANNONSE
Windows-administratorer og -brukere bør likevel vente på en oppdatering ifølge Naceri, ettersom “ethvert forsøk på å lappe binærfilen direkte vil ødelegge Windows-installasjonsprogrammet”.
Bloende datamaskin spurte Naceri hvorfor han ikke rapporterte sårbarheten til Microsoft før publisering. Naceri svarte at det er en reaksjon på at Microsoft har kuttet antall feil for rapporterte sårbarheter.
Nå du: kjører du standard- eller adminkontoer som standard?
ANNONSE