av Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 22. november 2021 droppet sikkerhetsforsker Abdelhamid Naceri en PoC for en Privilege Escalation Zero Day-sårbarhet (CVE-2021-41379) i Windows-installasjonsprogrammet som Microsoft hadde oppdatert med en patch i november. PoC fungerer på alle støttede versjoner av Windows.

Den spesifikke feilen finnes i Windows Installer-tjenesten. En angriper kan misbruke Windows Installer-tjenesten til å slette en fil eller katalog ved å opprette en kobling. I stedet for å sørge for bypass, fant Naceri en kraftigere variant av sårbarheten som gjør det mulig for en ikke-privilegert bruker å kjøre ledeteksten som SYSTEM.

Naceri forklarte at hans PoC ville omgå alle gruppepolicyer som er konfigurert for å hindre normale brukere i å utføre MSI-installasjoner.

Deteksjon av utnyttelse i LogPoint

En naturlig gjenkjenningsmetode for utnyttelse av denne zero-day-sårbarheten er via applikasjonsinstallasjonslogger. Se etter applikasjonsnavnet «test pkg» som brukes i PoC.

norm_id=WinServer label=Application label=Install application="test pkg"

Trusselaktører kan endre PoC-standardinnstillingene for unngå oppdagelse. Vi kan bruke prosessopprettelseslogger fanger opp denne konfigurasjonsendringen. Se etter forekomsten av x32-kommandoledeteksten fra Microsoft Edge Elevation Service.

norm_id=WindowsSysmon label="Process" label=Create
integrity_level=SYSTEM image="*\cmd.exe"
parent_command='*\elevation_service.exe" /svc'
image="C:\Windows\SysWOW64\cmd.exe"

Til slutt presenterer vi en generisk deteksjonsmetode som ser etter utførelse av forhøyet ledetekst før applikasjonsinstallasjon iløpet av fem sekunder.

[norm_id=WinServer label=Install label=Application -user=SYSTEM]
as s1 followed by
[norm_id=WindowsSysmon label="Process" label=Create
integrity_level=SYSTEM image="*\cmd.exe"]
as s2 within 5 seconds on s1.host=s2.host
| rename s1.host as host, s1.user as user, s1.application as application,
s1.vendor as vendor, s2.image as image, s2.parent_command as parent
| chart count() by host, user, application, vendor, image, parent

Detecting Exploitation in LogPoint

Oppdage utnyttingsforsøk

Ifølge Naceri er den beste løsningen å vente på Microsofts patch. I mellomtiden anbefaler vi at bedrifter overvåker eventuelle forsøk på utnyttelse av denne kritiske, lokale Privilege Escalation (LPE) zero-day-sårbarheten. Siden PoC-en er offentlig, kan vi forvente at løsepengevirus og mindre sofistikerte trusselaktører legger dette til i sitt arsenal for å redusere tiden til objektiv beregning

Contact LogPoint

Get in touch and learn why leading companies choose LogPoint:

GET IN TOUCH

Learn more about LogPoint

Book a Demo
Customer Cases
Customer Reviews