door Martin Brinkmann op 23 november 2021 in Beveiliging – Geen reacties
Beveiligingsonderzoeker Abdelhamid Naceri publiceerde gisteren een openbare exploit op GitHub waarmee iedereen beheerdersrechten op Windows-apparaten kan krijgen met behulp van een niet-gepatchte exploit. De exploit werkt op alle ondersteunde client- en serverversies van Windows volgens Naceri, inclusief Windows 11 en Windows Server 2022 met de nieuwste patches, beveiligingspatches van november 2021 op het moment van schrijven, geïnstalleerd.
We bevestigden de exploiteren op een Windows 10 versie 21H2-testsysteem. Lokaal uitgevoerd op een standaard gebruikersaccount, slaagden we erin om verhoogde privileges te verkrijgen met behulp van de exploit. Bleeping Computer heeft de exploit ook getest en bleek te werken.
Microsoft heeft CVE-2021-41379 gepatcht in de november 2021-patches, een Windows Installer Elevation of Privilege Vulnerability, die ook door Naceri werd ontdekt.
ADVERTEREN
Naceri vond een variant van de gepatchte exploit “tijdens analyse van CVE-2021-41379”, en merkte op dat het oorspronkelijke probleem niet correct was gepatcht. Hij besloot om geen bypass te publiceren voor de patch die Microsoft uitbracht, en verklaarde dat de nieuwe variant die hij in plaats daarvan publiceerde “krachtiger is dan de originele”.
De onderzoeker beschrijft de proof of concept op de volgende manier :
Ik heb er ook voor gezorgd dat het proof of concept uiterst betrouwbaar is en niets vereist, dus het werkt bij elke poging. Het proof-of-concept overschrijft de Microsoft Edge-elevatieservice DACL en kopieert zichzelf naar de servicelocatie en voert het uit om verhoogde rechten te krijgen.
Hoewel deze techniek mogelijk niet op elke installatie werkt, omdat Windows-installaties zoals server 2016 en 2019 heeft mogelijk niet de hoogteservice. Ik heb met opzet de code die het bestand overneemt opengelaten, dus elk bestand dat in het eerste argument is opgegeven, wordt overgenomen met de voorwaarde dat de SYSTEM-account er toegang toe moet hebben en dat het bestand niet in gebruik mag zijn. U kunt dus zelf uw privileges verhogen.
ADVERTENTIE
Het gebruik van standaard gebruikersaccounts, in plaats van accounts met beheerdersrechten, wordt als een goede beveiligingspraktijk beschouwd, aangezien dit kan beperken wat succesvolle exploits en aanvallen op een systeem kunnen doen.
Naceria merkt op dat zijn exploit niet wordt beïnvloed door een beleid dat standaardgebruikers ervan kan weerhouden MSI-bewerkingen uit te voeren.
Hij is van plan de omzeiling van het beveiligingslek dat in november 2021 is gepatcht, te laten vallen nadat Microsoft een patch heeft uitgebracht voor het beveiligingslek dat wordt besproken in dit artikel.
ADVERTEREN
Windows-beheerders en gebruikers moeten volgens Naceri toch wachten op een patch, omdat “elke poging om het binaire bestand rechtstreeks te patchen het Windows-installatieprogramma zal verbreken”.
Bleeping Computer vroeg Naceri waarom hij de kwetsbaarheid niet vóór publicatie aan Microsoft heeft gemeld. Naceri antwoordde dat het een reactie is op Microsoft die bugpremies voor gerapporteerde kwetsbaarheden verlaagde.
Nu jij: gebruik je standaard standaard- of beheerdersaccounts?
ADVERTEREN