Inoffizieller Patch für Zero-Day-Lücke im Windows Installer veröffentlicht

Microsoft kämpft schon länger mit einer Sicherheitslücke, die es Hackern erlaubt, den Windows Installer für das Einschleusen und Ausführen von Schadcode zu missbrauchen. Mehrere von Redmond bereitgestellte Patches wurden bereits von Sicherheitsforschern ausgehebelt, zuletzt im Dezember 2020, wie Bleeping Computer berichtet. Für die seitdem wieder aktuelle Schwachstelle liegt inzwischen zumindest ein inoffizieller Micropatch vor.

Entwickelt wurde er von Acros Security für den hauseigenen Micropatching-Service 0patch. Er soll das umgehen des zuletzt von Microsoft Oktober 2020 bereitgestellten Patches verhindern, was der Sicherheitsanbieter auch in einem Youtube-Video zeigt.

Die eigentliche Anfälligkeit betrifft Windows 7 bis Windows 10. Bei der Installation eines MSI-Pakets legt der Windows-Installer ein Skript an, mit dem sich alle Änderungen des Updates bei auftretenden Problemen rückgängig machen lassen. Ein Hacker mit lokalen Zugriffsrechten ist jedoch in der Lage, eine ausführbare Datei mit System-Rechten zu starten, falls es ihm gelingt, einen Registry-Eintrag in dem Skript zu verändern.

Erstmals stopfte Microsoft das Loch im April 2019. Bereits einen Monat später lag ein Bypass für den Patch vor. Weitere vier Versuche, das Problem aus der Welt zu schaffen, scheiterten ebenfalls. Zuletzt gelang es Abdelhamid Naceri den Microsoft-Patch auszuhebeln.

Laut Mitja Kolsek, CEO von Acros Security, beschreibt Naceri in seinem Blogeintrag, dass der Faxdienst von Windows den aktuellen Patch unbrauchbar macht. Demnach ist es möglich, einen Registry-Wert in dem Installer-Skript so anzupassen, dass dieser auf die ausführbare Datei des Faxdiensts verweist – und zwar auf eine bösartige Kopie beispielsweise in einem temporären Ordner. Der Faxdienst werde benutzt, da er von jedem Nutzer gestartet werden könne und ab Werk mit lokalen Systemrechten ausgeführt werde.

Der inoffizielle Micropatch soll nun verhindern, dass lokale Nutzer, die nicht über Administratorrechte verfügen, den Registry-Wert ändern, der auf den Faxdienst verweist. Dadurch wird der von Naceri entwickelte Beispielcode unwirksam.

Den Micropatch bietet Acros Security kostenlos an. Er steht für Windows 10 Version 20H2, 2004 und 1909 sowie für Windows 7 mit und ohne erweiterte Sicherheitsupdates zur Verfügung.