Malware für ungepatchte Sicherheitslücke im Windows Installer im Umlauf

(Bild: Shutterstock.com/Maksim Kabakou)

Ein von Microsoft veröffentlichte Patch lässt sich umgehen. Die Malware verschafft einem Angreifer Administratorrechte unter Windows 10, Windows 11 und Windows Server 2022.

Sicherheitsforscher von Cisco Talos weisen darauf hin, dass Hacker eine Schadsoftware entwickelt haben, um eine Sicherheitslücke im Windows Installer auszunutzen. Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten.

Betroffen ist die Anfälligkeit mit der Kennung CVE-2021-41379. Sie steckt in der Komponente des Windows Installers, die für die Einrichtung von Enterprise-Anwendungen vorgesehen ist. Microsoft bewertet sie mit 5,5 von 10 Punkten im Common Vulnerability Scoring System.

Zwar liegt bereits ein Patch für den Fehler vor, er stopft das Sicherheitsloch allerdings nicht vollständig. Laut Jaeson Schultz, Sicherheitsforscher bei Cisco Talos, erlaubt es die Schwachstelle, sich die Rechte eines Administrators anzueignen. “Diese Sicherheitslücke betrifft alle Versionen von Microsoft Windows, einschließlich der vollständig gepatchten Versionen Windows 11 und Server 2022. Talos hat bereits Malware-Samples in freier Wildbahn entdeckt, die versuchen, diese Sicherheitslücke auszunutzen.”

Das der Patch von Microsoft nicht wie beabsichtigt funktioniert, hatte in der vergangenen Woche bereits der Sicherheitsexperte Abedelhamid Naceri klargestellt – er ist der Forscher, der CVE-2021-41379 entdeckt und an Microsoft gemeldet habe. Vor einer Woche veröffentlichte er zudem Beispielcode für einen neuen Exploit auf GitHub. “Der von Naceri veröffentlichte Code nutzt die DACL (Discretionary Access Control List) für den Microsoft Edge Elevation Service aus, um eine beliebige ausführbare Datei auf dem System durch eine MSI-Datei zu ersetzen, so dass ein Angreifer den Code als Administrator ausführen kann”, erklärte Schultz. Schultz geht zudem davon aus, dass der Beispielcode die Entwicklung weiterer Malware begünstigen wird.

Naceri wies indes schon in der vergangenen Woche darauf hin, dass lediglich Microsoft in der Lage ist, diese Sicherheitslücke zu schließen. “Aufgrund der Komplexität dieser Sicherheitslücke wird jeder Versuch, die Binärdatei direkt zu patchen, den Windows Installer zerstören. Man sollte also lieber abwarten, wie/ob Microsoft den Patch wieder vermasselt”, so Naceri. Zu Naceris Beispiel-Exploit sowie einen Zeitplan für einen möglichen neuen Patch hat sich Microsoft bisher nicht geäußert.