Erkennung von Zero-Day-Exploits für den Windows Installer (CVE-2021-41379)
Inhaltsverzeichnis:
Ein Moment des Glücks für Bedrohungsakteure und ein weiteres großes Kopfzerbrechen für Cyberverteidiger! Am 22. November 2021 veröffentlichte der Sicherheitsforscher Abdelhamid Naceri einen vollständig funktionierenden Proof-of-Concept (PoC)-Exploit für die neue Zero-Day-Sicherheitslücke im Windows Installer. Der Fehler (CVE-2021-41379) ermöglicht es Angreifern, SYSTEM-Rechte auf jedem Gerät zu erlangen, das Windows 10, Windows 11 und Windows Server ausführt. Offensichtlich dauerte es nicht lange, bis Angriffe beobachtet wurden, die das bekannte Sicherheitsproblem in freier Wildbahn ausnutzten.
InstallerFileTakeOver PoC für CVE-2021-41379
Die fragliche Sicherheitslücke ist ein Windows Installer Privilegieneskalations- (EoP) Fehler, der zunächst von Microsoft im November 2021 gepatcht wurde. Dennoch wurde der Fehler nicht richtig behoben, was es Abdelhamid Naceri, dem Forscher, der das Problem aufgedeckt hat, ermöglichte, einen Weg zu finden, die Schutzmaßnahmen zu umgehen. Noch schlimmer ist, dass Naceri während seiner Untersuchung eine viel schwerwiegendere EoP-Panne entdeckte, die alle derzeit unterstützten Windows-Versionen betrifft. by Microsoft in November 2021. Yet, the bug was not fixed properly, which allowed Abdelhamid Naceri, the researcher who revealed the issue, to find a way to overcome the protections. What is worse, during his investigation, Naceri discovered a much more severe EoP glitch that affects all currently supported Windows versions.
Basierend auf seinen Erkenntnissen hat Naceri einen ausgereiften PoC-Exploit veröffentlicht, der „InstallerFileTakeOver“ genannt wird. Wenn er ausgenutzt wird, ermöglicht der PoC Hackern, Administratorrechte zu erlangen, wenn sie an einem Windows-Rechner mit installiertem Edge eingeloggt sind. Diese bösartige Routine wird durch Überschreiben des Microsoft Edge Elevation Service DACL durchgeführt, um jede ausführbare Datei im System durch eine MSI-Datei zu ersetzen. Dadurch kann ein Angreifer beliebigen böswilligen Code als Administrator ausführen. Bemerkenswerterweise ermöglicht InstallerFileTakeOver das Umgehen von Gruppenrichtlinien, die verhindern, dass „Standard“-Benutzer MSI-Installer-Operationen starten, was den PoC-Exploit noch gefährlicher macht. a fully-fledged PoC exploit, dubbed “InstallerFileTakeOver”. If exploited, the PoC allows hackers to reach admin privileges when logged into a Windows machine with Edge installed. This malicious routine is performed by overwriting Microsoft Edge Elevation Service DACL to replace any executable file on the system with an MSI file. As a result, an adversary can run any malicious code as an administrator. Notably, InstallerFileTakeOver allows bypassing the group policies that prevent “Standard” users from launching MSI installer operations, making the PoC exploit even more dangerous.
Laut der Bleeping Computer Berichterstattung, entschied sich Naceri, den Proof-of-Concept-Exploit für CVE-2021-41379 zu veröffentlichen, um gegen die stark reduzierten Bug-Bounty-Prämien von Microsoft zu protestieren. Und Bedrohungsakteure nutzen dies aus. Die Cisco Talos Security Intelligence and Research Gruppe berichtet dass der PoC erfolgreich reproduziert wurde. Zudem liefern Forscher Beweise dafür, dass der Exploit aktiv in freier Wildbahn genutzt wird.
CVE-2021-41379 Erkennung und Minderung
Der PoC kann auf jedem Windows-Gerät erfolgreich ausgenutzt werden, einschließlich vollständig gepatchter Windows 10, Windows 11 und Windows Server 2022 Maschinen. Experten empfehlen, aufgrund des Risikos, den Windows Installer zu beschädigen, von Minderungsvorhaben abzusehen. Die beste Entscheidung in dieser Situation ist, auf die Dezember-Patch-Dienstag-Veröffentlichung von Microsoft zu warten, die höchstwahrscheinlich den CVE-2021-41379-Patch bringen wird.
Um die bösartige Aktivität in Verbindung mit der Windows Installer Zero-Day-Schwachstelle zu identifizieren, können Sicherheitsexperten eine Reihe kuratierter Sigma-Regeln herunterladen, die auf SOC Primes Detection as Code Plattform verfügbar sind:
LPE InstallerFileTakeOver PoC CVE-2021-41379
Die Erkennung hat Übersetzungen für die folgenden SIEM- und XDR-Plattformen: Azure Sentinel, Splunk, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB und Securonix.
Die Regel ist auf das neueste ATT&CK® Framework v.10 ausgerichtet, das die Taktik Initial Access und die Technik Exploit Public-Facing Application (T1190) adressiert.
Mögliche InstallerFileTakeOver LPE CVE-2021-41379
Die Erkennung hat Übersetzungen für die folgenden SIEM- und XDR-Plattformen: Azure Sentinel, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB und Securonix.
Die Regel ist auf das neueste MITRE ATT&CK Framework v.10 ausgerichtet, das die Taktik Privilege Escalation mit Exploitation for Privilege Escalation als Haupttechnik (T1068) adressiert.
InstallerFileTakeOver LPE CVE-2021-41379 File Create Event
Die Erkennung hat Übersetzungen für die folgenden SIEM- und XDR-Plattformen: Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness und Apache Kafka ksqlDB.
Die Regel ist auf das neueste MITRE ATT&CK Framework v.10 ausgerichtet, das die Taktik Privilege Escalation und die Technik Exploitation for Privilege Escalation (T1068) adressiert.
Mögliche InstallerFileTakeOver [CVE-2021-41379] Exploitation Activity (via Datei-Ereignis)
Die Erkennung hat Übersetzungen für die folgenden SIEM- und XDR-Plattformen: Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB und Securonix.
Die Regel ist auf das neueste MITRE ATT&CK Framework v.10 ausgerichtet, das die Taktik Defense Evasion adressiert. Genauer gesagt, behandelt die Erkennung die Technik File and Directory Permissions Modification (T1222) mit ihrer Sub-Technik File and Directory Permissions Modification: Windows File and Directory Permissions Modification (T1222.001).
Registrieren Sie sich kostenlos auf SOC Primes Detection as Code Plattform und bringen Sie Ihre Bedrohungserkennung und Bedrohungsjagd auf die nächste Stufe. Jagen Sie sofort nach den neuesten Bedrohungen innerhalb von über 20 unterstützten SIEM- und XDR-Technologien, steigern Sie das Bewusstsein für alle neuesten Angriffe im Kontext von ausgenutzten Schwachstellen und der MITRE ATT&CK-Matrix, und optimieren Sie Ihre Sicherheitsoperationen. Möchten Sie die Welt zu einem sichereren Ort machen? Treten Sie unserem Threat Bounty-Programm bei, teilen Sie Ihre Sigma- und Yara-Regeln über das Threat Detection Marketplace Repository und erhalten Sie wiederkehrende Belohnungen für Ihren individuellen Beitrag! Sehen Sie sich unseren Leitfaden für Anfänger an, um zu erfahren was Sigma-Regeln sind und wie man sie erstellt.
