Sicherheitsforscher veröffentlicht Beispiel-Exploit für Zero-Day-Lücke in Windows

Stefan Beiersmann,
Sicherheitslücken (Bild: Shutterstock.com/bofotolux).

Die Schwachstelle erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Betroffen sind offenbar alle unterstützten Versionen von Windows und Windows Server. Die Veröffentlichung geschieht auf Protest gegen Microsoft.

Der Sicherheitsforschre Abdelhamid Naceri hat Beispielcode für einen Exploit veröffentlicht, mit dem sich eine bisher ungepatchte Sicherheitslücke in Windows ausnutzen lässt. Betroffen sind ihm zufolge alle unterstützten Versionen von Windows, inklusive Windows 10, Windows 11 und Windows Server 2022. Ein Angreifer mit eingeschränkten Zugriffsrechten kann unter Umständen Schadcode mit Systemrechten ausführen.

Wie BleepingComputer berichtet, stieß Naceri auf die Schwachstelle bei der Untersuchung eines Patches, den Microsoft Anfang des Monats veröffentlichte. Er soll eine Anfälligkeit (CVE-2021-41379) im Windows Installer beseitigen, die eine nicht autorisierte Ausweitung von Benutzerrechten ermöglicht.

Dabei stellte der Forscher fest, dass der von Microsoft bereitgestellte Fix das eigentliche Sicherheitsproblem nicht behebt. Naceri fand aber auch die fragliche, seiner Ansicht nach noch schwerwiegendere neue Zero-Day-Lücke, die ebenfalls eine Rechteausweitung erlaubt.

Den Beispielcode für einen Exploit veröffentlichte Naceri dem Bericht zufolge nun auf GitHub. “Diese Variante wurde während der Analyse des Patches CVE-2021-41379 entdeckt. Der Fehler wurde jedoch nicht korrekt behoben, anstatt den Bypass zu entfernen”, erklärte Naceri. “Ich habe mich dafür entschieden, diese Variante zu veröffentlichen, da sie leistungsfähiger ist als die ursprüngliche Variante.” Er betonte, dass sich der Bypass des Microsoft-Patches per Gruppenrichtlinie verhindern lasse – nicht jedoch ein Angriff auf die neu entdeckte Zero-Day-Lücke.

BleepingComputer hat den Exploit nach eigenen Angaben unter einem vollständig gepatchten Windows 10 21H1 getestet. Dabei öffnete sich demnach bei Verwendung eines Benutzerkontos mit eingeschränkten Rechten nach wenigen Sekunden eine Eingabeaufforderung mit System-Rechten, was der Blog auf in einem Video demonstriert.

An die Öffentlichkeit wandte sich Naceri nach eigenen Angaben, um gegen eine Entscheidung Microsofts zu protestieren, die an unabhängige Sicherheitsforscher wie ihn gezahlten Prämien für Schwachstellen zu reduzieren. “Microsofts Prämien sind seit April 2020 nur noch Makulatur. Ich würde das wirklich nicht tun, wenn Microsoft nicht die Entscheidung getroffen hätte, die Prämien herabzustufen”, erklärte der Forscher dem Bericht zufolge.