Categories: CybersicherheitVirus

Malware für ungepatchte Sicherheitslücke im Windows Installer im Umlauf

Sicherheitsforscher von Cisco Talos weisen darauf hin, dass Hacker eine Schadsoftware entwickelt haben, um eine Sicherheitslücke im Windows Installer auszunutzen. Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten.

Betroffen ist die Anfälligkeit mit der Kennung CVE-2021-41379. Sie steckt in der Komponente des Windows Installers, die für die Einrichtung von Enterprise-Anwendungen vorgesehen ist. Microsoft bewertet sie mit 5,5 von 10 Punkten im Common Vulnerability Scoring System.

Zwar liegt bereits ein Patch für den Fehler vor, er stopft das Sicherheitsloch allerdings nicht vollständig. Laut Jaeson Schultz, Sicherheitsforscher bei Cisco Talos, erlaubt es die Schwachstelle, sich die Rechte eines Administrators anzueignen. “Diese Sicherheitslücke betrifft alle Versionen von Microsoft Windows, einschließlich der vollständig gepatchten Versionen Windows 11 und Server 2022. Talos hat bereits Malware-Samples in freier Wildbahn entdeckt, die versuchen, diese Sicherheitslücke auszunutzen.”

Das der Patch von Microsoft nicht wie beabsichtigt funktioniert, hatte in der vergangenen Woche bereits der Sicherheitsexperte Abedelhamid Naceri klargestellt – er ist der Forscher, der CVE-2021-41379 entdeckt und an Microsoft gemeldet habe. Vor einer Woche veröffentlichte er zudem Beispielcode für einen neuen Exploit auf GitHub. “Der von Naceri veröffentlichte Code nutzt die DACL (Discretionary Access Control List) für den Microsoft Edge Elevation Service aus, um eine beliebige ausführbare Datei auf dem System durch eine MSI-Datei zu ersetzen, so dass ein Angreifer den Code als Administrator ausführen kann”, erklärte Schultz. Schultz geht zudem davon aus, dass der Beispielcode die Entwicklung weiterer Malware begünstigen wird.

Naceri wies indes schon in der vergangenen Woche darauf hin, dass lediglich Microsoft in der Lage ist, diese Sicherheitslücke zu schließen. “Aufgrund der Komplexität dieser Sicherheitslücke wird jeder Versuch, die Binärdatei direkt zu patchen, den Windows Installer zerstören. Man sollte also lieber abwarten, wie/ob Microsoft den Patch wieder vermasselt”, so Naceri. Zu Naceris Beispiel-Exploit sowie einen Zeitplan für einen möglichen neuen Patch hat sich Microsoft bisher nicht geäußert.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

9 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

13 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

14 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago