Start Microsoft 0patch schlägt Microsoft bei der Behebung einer schwerwiegenden Schwachstelle bei der lokalen...

0patch schlägt Microsoft bei der Behebung einer schwerwiegenden Schwachstelle bei der lokalen Rechteausweitung in Windows

19
0


Laptoppflaster

Die Micro-Patching-Firma 0patch hat Microsoft erneut geschlagen und einen inoffiziellen Patch für eine Zero-Day-Sicherheitslücke in Windows veröffentlicht.

Dieses Mal sprechen wir über CVE-2021-24084, eine Zero-Day-Schwachstelle für lokale Rechteausweitung (LPE) im Windows Mobile Device Management-Dienst. Der Fehler betrifft Windows 10, Version 1809 und höher, und Microsoft hat noch keinen eigenen offiziellen Patch veröffentlicht. Um die Systeme nicht einem Angriffsrisiko auszusetzen, trat 0patch ein, um Benutzern zu helfen, indem es eine kostenlose Lösung anbot.

Siehe auch:

Die Sicherheitsanfälligkeit wurde von Abdelhamid Naceri aufgedeckt, der feststellte, dass es für Nicht-Administratoren möglich war, auf Daten zuzugreifen, zu denen sie nicht berechtigt waren, indem sie eine „Unpatched Information Disclosure“-Sicherheitslücke in Windows ausnutzten.

In einem Blogbeitrag, Naceri erklärt der Zeitplan der Ereignisse: „Dieser Fehler wurde ursprünglich im Oktober 2020 erkannt und dem Zero Day Initiative Program gemeldet wurde als CVE-2021-24084“ veröffentlicht.

Der Beitrag geht weiter:

Im Patch-Dienstag habe ich versucht zu sehen, dass die Änderungen den ursprünglichen Code eingeführt haben, und ich war schockiert, nichts hat sich geändert, selbst wenn ich das Update installiert habe, das den Fehler behebt.

Ich kontaktierte ZDI und sie bestätigten, dass sie das angegebene Verhalten ohne minimale Änderungen am ursprünglichen PoC reproduzieren konnten. Nach wenigen Tagen erhielt ich ein Update von ZDI und sagte, dass Microsoft im April 2021 einen letzten Patch veröffentlichen wird.

April kam und der Fehler noch nicht behoben ist, habe ich mich an ZDI gewandt. Und nach langer Ruhe erreichte mich ZDI mit einem Update und sagte, dass sie ein Treffen mit dem Principal Program Manager von MSRC hatten und sagte, dass das Problem klar anerkannt ist und aktiv untersucht wird und nicht als Scherz gelassen wird. Und sagte, dass ein letzter Patch im Juli (vielleicht im Jahr 2022 Lmao) veröffentlicht wird.

Während Naceris Blogeintrag ist eine sehr interessante Lektüre, die Tatsache, dass Microsoft das Problem nicht angegangen ist, ist besorgniserregend.

0patch sagt, dass es anfangs nicht an der Schwachstelle interessiert war, aber später seine Meinung geändert hat: „Obwohl wir die Offenlegung von Abdelhamid im Juni bemerkt hatten, schien es für das Mikropatching nicht kritisch genug zu sein, da wir im Allgemeinen keine Offenlegung von Informationen patchen.“ Im November wies Abdelhamid jedoch darauf hin, dass es sich bei diesem – noch nicht gepatchten – Fehler nicht nur um ein Problem mit der Offenlegung von Informationen, sondern um eine lokale Schwachstelle zur Eskalation von Privilegien handelt.

Das Unternehmen fährt fort, die Schwachstelle zusammenzufassen:

Die anfällige Funktionalität befindet sich unter den Einstellungen „Auf Arbeit oder Schule zugreifen“ und kann durch Klicken auf „Ihre Management-Logdateien exportieren“ und Bestätigen durch Drücken von „Exportieren“ ausgelöst werden. An diesem Punkt wird der Registrierungsdienst für die Geräteverwaltung ausgelöst, der als lokales System ausgeführt wird. Dieser Dienst kopiert zuerst einige Protokolldateien in den Ordner C:ProgramDataMicrosoftMDMDiagnostics und verpackt sie dann in eine CAB-Datei, wobei sie vorübergehend in den Ordner C:WindowsTemp kopiert werden. Die resultierende CAB-Datei wird dann im Ordner C:UsersPublicPublic DocumentsMDMDiagnostics gespeichert, wo der Benutzer frei darauf zugreifen kann.

Es ist das Kopieren in den Ordner C:WindowsTemp, der anfällig ist. Ein lokaler Angreifer kann nämlich eine Softlink (Verbindung) dort mit einem vorhersehbaren Dateinamen, der in dem oben beschriebenen Prozess verwendet wird und auf eine Datei oder einen Ordner verweist, die in die CAB-Datei kopiert werden sollen. Da der Registrierungsdienst für die Geräteverwaltung als lokales System ausgeführt wird, kann er jede Systemdatei lesen, die der Angreifer nicht kann.

Abdelhamids POC zielt auf die Kernel-Dump-Dateien im Ordner C:WindowsLiveKernelReports ab, um das Problem zu demonstrieren, während wir SAM-, SECURITY- und SYSTEM-Dateien aus einem Wiederherstellungspunktordner verwendet haben, um eine lokale Rechteausweitung zu erreichen.

Die Schwachstelle hat CVE-2021-24084 zugewiesen, aber wir betrachten es immer noch als „0day“, da kein offizieller Hersteller-Fix verfügbar ist.

Während 0patch einen Abonnementdienst für den Zugriff auf Patches anbietet, hat das Unternehmen einen Mikropatch für dieses Problem veröffentlicht, der für alle kostenlos bleibt, bis Microsoft einen eigenen Fix veröffentlicht. Weitere Details sind verfügbar Hier.

Bildnachweis: Andrey_Popov / Shutterstock



Vorheriger ArtikelDienstag: Google muss in Russland Strafe zahlen, Panasonic meldet Einbruch
Nächster ArtikelBMW XM: SUV-Konzept zeigt Design für die Zukunft

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein