av Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 22 november 2021 släppte säkerhetsforskaren Abdelhamid Naceri  ett PoC (Proof of Concept) för en privilegieeskaleringssårbarhet(CVE-2021-41379) i Windows Installer som Microsoft patchade under Patch Tuesday i november. Detta PoC fungerar på alla versioner av Windows som stöds.

Den specifika sårbarheten finns i Windows Installer-tjänsten. En angripare kan missbruka tjänsten Windows Installer för att ta bort en fil eller katalog genom att skapa en koppling. Istället för att tillhandahålla en förbikoppling, tillhandahöll Naceri en kraftfullare variant av sårbarheten som gör det möjligt för en obehörig användare att köra kommandotolken med SYSTEM-behörighet.

Naceri förklarade att hans PoC kan kringgå alla gruppolicyer som konfigurerats för att hindra vanliga användare från att utföra MSI-installationer.

Identifiering av intrång med LogPoint

En enkel identifieringsmetod för utnyttjande av denna zero-day är via programinstallationsloggar. Håll utkik efter applikationsnamnet ”test pkg” som används i PoC.

norm_id=WinServer label=Application label=Install application="test pkg"

Hotaktörer kan ändra standarvärdena i PoC för att undgå upptäckt. Vi kan använda processkapningsloggar som kan fånga upp denna konfigurationsändring. Håll utkik efter generering av x32 kommandotolken från Microsoft Edge Elevation Service.

norm_id=WindowsSysmon label="Process" label=Create
integrity_level=SYSTEM image="*\cmd.exe"
parent_command='*\elevation_service.exe" /svc'
image="C:\Windows\SysWOW64\cmd.exe"

Slutligen presenterar vi en generisk identifieringsmetod som söker efter exekvering av en upphöjd kommandotolk som föregås av programinstallation inom 5 sekunder.

[norm_id=WinServer label=Install label=Application -user=SYSTEM]
as s1 followed by
[norm_id=WindowsSysmon label="Process" label=Create
integrity_level=SYSTEM image="*\cmd.exe"]
as s2 within 5 seconds on s1.host=s2.host
| rename s1.host as host, s1.user as user, s1.application as application,
s1.vendor as vendor, s2.image as image, s2.parent_command as parent
| chart count() by host, user, application, vendor, image, parent

Detecting Exploitation in LogPoint

Övervaka för intrångsförsök

Enligt Naceri är den bästa lösningen att vänta på patchen från Microsoft. Under tiden rekommenderar vi att IT-säkerhetsavdelningar övervakar alla intrångsförsök via denna kritiska zero day-sårbarhet som utnyttjar lokal privilegieeskalering. Eftersom detta PoC är offentligt kan vi förvänta oss att ransomware- och mindre sofistikerade hotaktörer lägger till detta i sina arsenaler för att snabba på sina intrångsförsök.

Contact LogPoint

Get in touch and learn why leading companies choose LogPoint:

GET IN TOUCH

Learn more about LogPoint

Book a Demo
Customer Cases
Customer Reviews