윈도우 인스톨러 제로데이 (CVE-2021-41379) 익스플로잇 탐지

위협 행위자들에게 운이 따르고 사이버 방어자들에게는 또 다른 큰 골칫거리로 떠올랐습니다! 2021년 11월 22일, 보안 연구원 Abdelhamid Naceri는 새로운 Windows Installer 제로데이 취약점에 대한 완전 기능의 개념 증명(PoC) 익스플로잇을 발표했습니다. 이 결함(CVE-2021-41379)은 Windows 10, Windows 11 및 Windows Server를 실행하는 모든 장치에서 시스템 권한을 얻을 수 있게 해줍니다. 당연히 이 악명 높은 보안 문제를 활용한 공격이 실제 사례에서 빠르게 관찰되었습니다.

CVE-2021-41379에 대한 InstallerFileTakeOver PoC

문제의 취약점은 Windows Installer 권한 상승(EoP) 버그로 처음에는 Microsoft에서 2021년 11월에 패치했습니다. 그러나 버그가 적절히 수정되지 않아 이 문제를 밝힌 연구원 Abdelhamid Naceri는 보호 장치를 극복할 수 있는 방법을 찾을 수 있었습니다. 더 나쁜 것은 조사 도중 Naceri가 현재 지원되는 모든 Windows 버전에 영향을 미치는 훨씬 심각한 EoP 결함을 발견했다는 점입니다. by Microsoft in November 2021. Yet, the bug was not fixed properly, which allowed Abdelhamid Naceri, the researcher who revealed the issue, to find a way to overcome the protections. What is worse, during his investigation, Naceri discovered a much more severe EoP glitch that affects all currently supported Windows versions.

그의 발견에 기반하여 Naceri는 완전한 PoC 익스플로잇을 발표했고, 이를 “InstallerFileTakeOver”라고 명명했습니다. 이 PoC가 악용되면 해커는 Edge가 설치된 Windows 컴퓨터에 로그인했을 때 관리자 권한을 얻을 수 있습니다. 이 악성 루틴은 Microsoft Edge Elevation Service DACL을 덮어써서 시스템의 실행 파일을 MSI 파일로 대체하여 수행됩니다. 결과적으로 적은 관리자로서 악성 코드를 실행할 수 있습니다. 특히 InstallerFileTakeOver는 “기본” 사용자가 MSI 설치 프로그램 작업을 시작하지 못하게 하는 그룹 정책을 우회할 수 있어 PoC 익스플로잇이 더욱 위험해집니다. a fully-fledged PoC exploit, dubbed “InstallerFileTakeOver”. If exploited, the PoC allows hackers to reach admin privileges when logged into a Windows machine with Edge installed. This malicious routine is performed by overwriting Microsoft Edge Elevation Service DACL to replace any executable file on the system with an MSI file. As a result, an adversary can run any malicious code as an administrator. Notably, InstallerFileTakeOver allows bypassing the group policies that prevent “Standard” users from launching MSI installer operations, making the PoC exploit even more dangerous.

Bleeping Computer에 따르면 의견에서, Naceri는 Microsoft의 bug bounty 보상이 대폭 감소한 것에 항의하여 CVE-2021-41379에 대한 개념 증명 익스플로잇을 공개하기로 결정했습니다. 그리고 위협 행위자들은 이를 악용하고 있습니다. Cisco Talos Security Intelligence and Research 그룹, Naceri decided to release the proof-of-concept exploit for CVE-2021-41379 to protest against significantly decreased bug bounty rewards by Microsoft. And threat actors are taking advantage of this. The Cisco Talos Security Intelligence and Research group 보고에 따르면 이 PoC는 성공적으로 재생산되었다고 합니다. 더욱이 연구자들은 야생에서 익스플로잇이 적극적으로 활용되고 있다는 증거도 제공합니다. that the PoC is successfully reproduced. Moreover, researchers provide evidence of the exploit being actively utilized in the wild.

CVE-2021-41379 감지 및 완화

이 PoC는 완전히 패치된 Windows 10, Windows 11 및 Windows Server 2022 기기를 포함한 모든 Windows 장치에서 성공적으로 악용될 수 있습니다. 전문가들은 Windows Installer를 손상시킬 위험 때문에 완화 시도를 피할 것을 추천합니다. 이 상황에서 가장 좋은 결정은 Microsoft의 12월 패치 화요일 릴리스를 기다리는 것입니다. 이 릴리스에는 CVE-2021-41379 패치가 포함될 가능성이 높습니다.

Windows Installer 제로데이와 관련된 악성 활동을 식별하기 위해 보안 실무자들은 SOC Prime의 Detection as Code 플랫폼에서 사용 가능한 정제된 Sigma 규칙 세트를 다운로드할 수 있습니다:

LPE InstallerFileTakeOver PoC CVE-2021-41379

감지는 다음 SIEM 및 XDR 플랫폼에 대한 번역을 제공합니다: Azure Sentinel, Splunk, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB, Securonix.

이 규칙은 최신 ATT&CK® 프레임워크 v.10의 초기 액세스 전술과 공공 웹 애플리케이션 악용 기법(T1190)을 다루고 있습니다. v.10 addressing the Initial Access tactic and the Exploit Public-Facing Application technique (T1190).

가능한 InstallerFileTakeOver LPE CVE-2021-41379

감지는 다음 SIEM 및 XDR 플랫폼에 대한 번역을 제공합니다: Azure Sentinel, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

이 규칙은 최신 MITRE ATT&CK 프레임워크 v.10의 권한 상승 전술과 권한 상승을 위한 악용 기법(T1068)을 다루고 있습니다.

InstallerFileTakeOver LPE CVE-2021-41379 파일 생성 이벤트

감지는 다음 SIEM 및 XDR 플랫폼에 대한 번역을 제공합니다: Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB.

이 규칙은 최신 MITRE ATT&CK 프레임워크 v.10의 권한 상승 전술과 권한 상승을 위한 악용 기법(T1068)을 다루고 있습니다.

파일 이벤트를 통한 가능한 InstallerFileTakeOver [CVE-2021-41379] 익스플로잇 활동

감지는 다음 SIEM 및 XDR 플랫폼에 대한 번역을 제공합니다: Azure Sentinel, Chronicle Security, Splunk, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

이 규칙은 최신 MITRE ATT&CK 프레임워크 v.10의 방어 회피 전술을 다루고 있습니다. 보다 구체적으로 이 탐지는 파일 및 디렉터리 권한 수정(T1222) 기술과 그 하위 기술인 Windows 파일 및 디렉터리 권한 수정(T1222.001)을 다룹니다.

SOC Prime의 Detection as Code 플랫폼에 무료로 가입하여 위협 탐지 및 위협 헌팅 작업을 다음 수준으로 끌어올리십시오. 20개 이상의 지원되는 SIEM 및 XDR 기술 내에서 최신 위협을 즉시 헌팅하고, 악용된 취약점과 MITRE ATT&CK 매트릭스의 맥락에서 최신 공격에 대한 인식을 높이며 보안 작업을 간소화하십시오. 세상을 더 안전하게 만드는데 관심이 있으신가요? 우리 위협 보상 프로그램에 참여해 Sigma 및 Yara 규칙을 Threat Detection Marketplace 저장소를 통해 공유하고 귀하의 개별 기여에 대해 반복적인 보상을 받으십시오! 초보자를 위한 가이드로 무엇이 Sigma 규칙인지 배우고 Sigma 규칙이 무엇인지 그리고 그것을 만드는 방법을 배워보십시오.

플랫폼으로 이동 위협 보상 프로그램 참여