Microsoft Windows MSI Installer - Rechte-Ausweitung zu SYSTEM - Eine ausführliche Untersuchung

research

Die Reparaturfunktion von Microsoft Windows MSI Installationsdateien kann auf verschiedene Weisen Schwachstellen aufweisen und es beispielsweise einem lokalen, niedrig privilegierten Angreifer ermöglichen, seine Rechte zu SYSTEM-Rechten auszuweiten. Dieser Schwachstelle wurde CVE-2024-38014 zugewiesen.

Dieser Artikel von unserem Researcher Michael Baer für das SEC Consult Vulnerability Lab zeigt verschiede Angriffe auf und stellt ein Open-Source Analysewerkzeug namens "msiscan" vor, mit dem automatisiert potenzielle Schwachstellen erkannt werden können. Der Hauptfokus liegt auf einem Angriff, der ein kurzzeitig aufgehendes Windows Fenster des MSI Installers während eines Reparaturvorgangs ausnutzt. Die meisten öffentlichen Beiträge zu diesem Thema versuchen, das System zu verlangsamen, sodass das Fenster lange genug geöffnet bleibt. Im Gegensatz dazu beschreiben wir eine Technik, die das Programm komplett pausiert, sodass der Angriff erleichtert wird und zuverlässiger ausgenutzt werden kann. Außerdem geben wir weitere Details und Einblicke in diese Schwachstelle.

MSI Installationsdateien sind eine gängige Option, Software auf Windows Systemen zu installieren. Das MSI-Dateiformat erlaubt es, eine standardisierte Installationsdatei zu erstellen, die Software installieren, deinstallieren und reparieren kann. Während die Installation und Deinstallation normalerweise erhöhte Rechte erfordert, kann die Reparatur einer bereits installierten Software auch als normaler Benutzer ausgeführt werden. Die Reparaturfunktion selbst kann dabei jedoch im Kontext der Rechte NT AUTHORITY\SYSTEM, einer der höchsten Rechte auf einem Windows System, ausgeführt werden. Wenn ein Angreifer in die Ausführung dieser Funktionen eingreifen kann, ist eine Rechteausweitung möglich.

Dieser Blogpost fokussiert sich hauptsächlich auf die sichtbaren Fenster, die während der Reparatur kurzzeitig aufgehen. Es gibt jedoch noch diverse weitere Schwachstellen, die durch unsicher entwickelte Installationsdateien entstehen. Unser bereitgestelltes Open-Source-Werkzeug "msiscan" versucht Einblicke in ein Installationsprogramm zu geben und dadurch das Identifizieren von weiteren Schwachstellen zu erleichtern.

Open-Source Werkzeug "msiscan": https://github.com/sec-consult/msiscan

SEC Consult ist in der Vergangenheit mehreren MSI Installationsdateien begegnet, die aufgrund unsicherer Reparaturfunktionen eine Rechteausweitung erlaubt haben. Die folgenden Advisories mit technischen Informationen wurden publiziert:

Wir haben außerdem Microsoft im Zuge unseres CVD-Prozesses (Coordinated Vulnerability Disclosure) über ihr Researcher Portal über das Thema und die Veröffentlichung dieses Blogeintrags und unseres Analyseprogramms informiert. Microsoft hat entschieden, eine Lösung zu implementieren, die im September 2024 Patch enthalten istMicrosoft hat uns außerdem mit einem Bounty über die Plattform Intigriti belohnt, welches wir an gute Zwecke in der Security Community spenden werden.

Microsoft advisory (CVE-2024-38014): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014 (CVSS Score 7.8 - HIGH - CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C)

Diverse weitere Artikel und CVEs über dieses Thema wurden bereits in der Vergangenheit von anderen Researchern publiziert. Das Ziel dieses Blogposts ist, auf diesen Beiträgen aufzubauen und weitere Informationen zur Erkennung und Ausnutzung bereitzustellen und unser Werkzeug "msiscan" zu veröffentlichen.

Den vollständigen englischsprachigen Blogpost mit den technischen Details finden Sie hier