af Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 22. november 2021 lancerede sikkerhedsforsker Abdelhamid Naceri PoC i forbindelse med en sårbarhed med eskalering af rettigheder (CVE-2021-41379) i Windows Installer, som Microsoft havde repareret til Patch Tuesday i november. PoC’en fungerer på alle understøttede versioner af Windows.

Den specifikke fejl findes i Windows Installer-tjenesten. En angriber kan misbruge Windows Installer-tjenesten til at slette en fil eller mappe ved at oprette en forbindelse. I stedet for at omgå fejlen kom Naceri med en mere effektiv variant af sårbarheden, der gør det muligt for en bruger uden rettigheder at køre kommandoprompten som SYSTEM.

Naceri forklarede, at hans PoC ville omgå alle gruppepolitikker, der var konfigureret til at forhindre normale brugere i at udføre MSI-installationer.

Identifikation af udnyttelse i LogPoint

En naiv identifikationstilgang til udnyttelse af denne zero-day er via applikationsinstallationslogfiler. Hold øje med applikationsnavnet “test pkg”, der bruges i PoC.

norm_id=WinServer label=Application label=Install application="test pkg"

Trusselsaktører kan ændre PoC-standarderne i skjul. Vi kan bruge procesoprettelseslogfiler, der kan fange denne konfigurationsændring. Hold øje med, om Microsoft Edge Elevation Service har udsendt en kommandoprompt på x32.

norm_id=WindowsSysmon label="Process" label=Create
integrity_level=SYSTEM image="*\cmd.exe"
parent_command='*\elevation_service.exe" /svc'
image="C:\Windows\SysWOW64\cmd.exe"

Endelig præsenterer vi en generisk identifikationstilgang, der søger efter udførelse af en udvidet kommandoprompt forud for applikationsinstallationen inden for 5 sekunder.

[norm_id=WinServer label=Install label=Application -user=SYSTEM]
as s1 followed by
[norm_id=WindowsSysmon label="Process" label=Create
integrity_level=SYSTEM image="*\cmd.exe"]
as s2 within 5 seconds on s1.host=s2.host
| rename s1.host as host, s1.user as user, s1.application as application,
s1.vendor as vendor, s2.image as image, s2.parent_command as parent
| chart count() by host, user, application, vendor, image, parent

Detecting Exploitation in LogPoint

Hold øje med forsøg på udnyttelse

Ifølge Naceri er den bedste workaround at vente på Microsofts programrettelse. I mellemtiden anbefaler vi, at virksomhederne holder øje med ethvert forsøg på udnyttelse af dette kritiske zero day-angreb med eskalering af rettigheder (LPE). Eftersom PoC’en er offentlig, kan vi forvente, at ransomware og mindre sofistikerede trusselsaktører føjer den til deres arsenal for at reducere deres tid til objektiv metrik

Contact LogPoint

Get in touch and learn why leading companies choose LogPoint:

GET IN TOUCH

Learn more about LogPoint

Book a Demo
Customer Cases
Customer Reviews