Inoffizieller Patch für Zero-Day-Lücke im Windows Installer veröffentlicht

Microsoft kämpft schon länger mit einer Sicherheitslücke, die es Hackern erlaubt, den Windows Installer für das Einschleusen und Ausführen von Schadcode zu missbrauchen. Mehrere von Redmond bereitgestellte Patches wurden bereits von Sicherheitsforschern ausgehebelt, zuletzt im Dezember 2020, wie Bleeping Computer berichtet. Für die seitdem wieder aktuelle Schwachstelle liegt inzwischen zumindest ein inoffizieller Micropatch vor.

Entwickelt wurde er von Acros Security für den hauseigenen Micropatching-Service 0patch. Er soll das umgehen des zuletzt von Microsoft Oktober 2020 bereitgestellten Patches verhindern, was der Sicherheitsanbieter auch in einem Youtube-Video zeigt.

Die eigentliche Anfälligkeit betrifft Windows 7 bis Windows 10. Bei der Installation eines MSI-Pakets legt der Windows-Installer ein Skript an, mit dem sich alle Änderungen des Updates bei auftretenden Problemen rückgängig machen lassen. Ein Hacker mit lokalen Zugriffsrechten ist jedoch in der Lage, eine ausführbare Datei mit System-Rechten zu starten, falls es ihm gelingt, einen Registry-Eintrag in dem Skript zu verändern.

Erstmals stopfte Microsoft das Loch im April 2019. Bereits einen Monat später lag ein Bypass für den Patch vor. Weitere vier Versuche, das Problem aus der Welt zu schaffen, scheiterten ebenfalls. Zuletzt gelang es Abdelhamid Naceri den Microsoft-Patch auszuhebeln.

Laut Mitja Kolsek, CEO von Acros Security, beschreibt Naceri in seinem Blogeintrag, dass der Faxdienst von Windows den aktuellen Patch unbrauchbar macht. Demnach ist es möglich, einen Registry-Wert in dem Installer-Skript so anzupassen, dass dieser auf die ausführbare Datei des Faxdiensts verweist – und zwar auf eine bösartige Kopie beispielsweise in einem temporären Ordner. Der Faxdienst werde benutzt, da er von jedem Nutzer gestartet werden könne und ab Werk mit lokalen Systemrechten ausgeführt werde.

Der inoffizielle Micropatch soll nun verhindern, dass lokale Nutzer, die nicht über Administratorrechte verfügen, den Registry-Wert ändern, der auf den Faxdienst verweist. Dadurch wird der von Naceri entwickelte Beispielcode unwirksam.

Den Micropatch bietet Acros Security kostenlos an. Er steht für Windows 10 Version 20H2, 2004 und 1909 sowie für Windows 7 mit und ohne erweiterte Sicherheitsupdates zur Verfügung.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Podcast: Angriffsketten lassen sich im Darknet buchen

"In der Vergangenheit sind Unternehmen erst dann auf uns zugekommen, wenn das Kind bereits in…

11 Stunden ago

Erasmus MC: Datengesteuerte Klinik setzt auf KI

Das niederländische Universitätsklinikum will sich zu einem datengetriebenen Krankenhaus weiterentwickeln.

11 Stunden ago

KI-Trends: Kann ChatGPT das Contact Center revolutionieren?

Durchbrüche bei der Verarbeitung natürlicher Sprache machen fördern die Einführung von KI im Contact Center.

12 Stunden ago

Maschinenbau in der Cloud

Resch Maschinenbau macht den Sprung in die Public Cloud und setzt auf SAP S/4HANA in…

12 Stunden ago

Türöffner für Emotet, REvil, Maze und andere Malware

Software-Service hilft Hackern, den Schutz vo Endpoint Detection & Respons zu umgehen.

13 Stunden ago

Roboter mit Empathie

Forschungsprojekt „Fluently“ soll Teamwork von Mensch und Maschine optimieren.

14 Stunden ago