Martin Brinkmann 03.12.2021 Sicherheit| 1
Es gibt eine 0-Tage-Schwachstelle für Windows namens InstallerFileTakeOver, die Microsoft noch nicht beheben muss. Die Sicherheitslücke wurde von Abdelhamid Naceri, einem Sicherheitsforscher, entdeckt, der in diesem Jahr bereits zwei weitere 0-Day-Sicherheitslücken in Windows entdeckte.
Wir haben die Schwachstelle Ende November 2021 bereits hier auf dieser Seite erwähnt. Das Problem wurde damals nicht behoben und Microsoft hat noch kein Sicherheitsupdate veröffentlicht, das die Sicherheitsanfälligkeit behebt.
Das Micro-Patching-Unternehmen 0Patch hat diese Woche einen kostenlosen Patch für das Problem veröffentlicht, der allen Benutzern zur Verfügung steht. Der von 0Patch veröffentlichte Micropatch ist für die folgenden Betriebssysteme verfügbar:
WERBUNG
- Windows 10 Version 1709 bis 21H1.
- Windows 7 ESU
- Windows Server 2012, 2012 R2, 2016, 2019.
- Windows Server 2008 R2 ESU
0Patch weist darauf hin, dass Nicht-ESU-Installationen von Windows 7 und Windows Server 2012 von der Sicherheitsanfälligkeit nicht betroffen sind. Auch Windows Server 2022 und Windows 11 sind wahrscheinlich betroffen, aber noch nicht offiziell vom Unternehmen unterstützt (daher kein Patch). Windows 8.1 wurde aufgrund des geringen Interesses an der jeweiligen Windows-Version nicht analysiert.
Die Sicherheitsanfälligkeit nutzt Rollback-Dateien aus, die Windows Installer während der Installation erstellt. Es speichert Dateien, die während des Installationsprozesses gelöscht oder geändert werden, um Rollbacks zu ermöglichen. Die Rollback-Datei wird in Systemverzeichnissen erstellt und dann in einen temporären Ordner im Verzeichnis des Benutzers verschoben.
Naceri entdeckte, dass ein symbolischer Link an dem Speicherort platziert werden kann, sodass die RBF-Datei an einen anderen Speicherort verschoben wird. Der symbolische Link verweist auf eine Datei auf dem System, die dann dem Benutzer zugänglich gemacht wird, vorausgesetzt, das lokale System hat Schreibzugriff darauf.
Da Windows Installer als lokales System ausgeführt wird, kann jede Datei schreibbar vom lokalen System kann überschrieben und vom lokalen Benutzer beschreibbar gemacht werden.
WERBUNG
Der von 0Patch erstellte Micropatch überprüft, ob das Ziel für die Rollback-Dateioperation Junctions oder Links enthält. Der Vorgang wird in diesem Fall blockiert oder anderweitig erlaubt.
Das Patchen von Systemen mit 0Patch-Mikropatches erfordert ein kostenloses Konto bei 0Patch Central und die Installation und Registrierung des 0Patch-Agenten des Unternehmens. Der Patch wird automatisch angewendet, ein Neustart ist nicht erforderlich.
Hier ist ein Demo-Video, das 0Patch auf YouTube veröffentlicht hat:
WERBUNG
Hier ist das Video von unserem Mikropatch in Aktion. Ohne den Micropatch funktioniert Exploit und ein Befehlszeilenfenster wird als lokales System gestartet; Mit dem Micropatch bestimmt der Code, den wir in msi.dll korrigieren, dass der Zielpfad einen symbolischen Link enthält, bricht den Dateiverschiebungsvorgang ab und löst ein “Exploit blockiert”-Ereignis aus.
Schauen Sie sich den 0Patch an Blog für weitere Details.
Jetzt Sie: Wie gehen Sie mit ungepatchten Sicherheitslücken um?
WERBUNG