CVE-2021-34484 is een beveiligingslek van Microsoft, oorspronkelijk gepatcht in augustus, maar nu te exploiteren met een patch-bypass. Het beveiligingslek kan leiden tot escalatie van lokale bevoegdheden van een gewone gebruiker naar System. Het werd ontdekt door beveiligingsonderzoeker Abdelhamid Naceri.
Verwant: Windows 10 is gehackt 5 Tijden tijdens Tianfu Cup 2021
Wie is beïnvloed? De impact van de fout omvat Windows 10 (beide 32- en 64-bit), versies v21H1, v20H2, v2004 en v1909, en Windows Server 2019 64-bit.
Gelukkig, er is nu een onofficiële micropatch van oPatch beschikbaar om het oud-nieuwe probleem aan te pakken.
CVE-2021-34484: Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows-gebruikersprofiel
Zoals reeds gezegd, de fout, oorspronkelijk geclassificeerd als een willekeurig probleem met het verwijderen van mappen, werd gepatcht als onderdeel van Microsoft's August 2021 Patch Tuesday. Oorspronkelijk, omdat de bug een aanvaller vereiste om lokaal in te loggen op een kwetsbare machine, het werd als een lage prioriteit beschouwd.
Echter, kort na zijn ontdekking, beveiligingsonderzoeker Abdelhamid Naceri realiseerde zich ook dat de bug misbruikt kon worden bij escalatie-aanvallen op bevoegdheden. Dit gaf de kwetsbaarheid een heel ander dreigingsniveau, aangezien gebruikers op systeemniveau toegang hebben tot verschillende netwerkbronnen, inclusief databases en servers.
De onderzoeker inspecteerde ook de eerste patch van Microsoft voor CVE-2021-34484, en ontdekte er een bypass voor via een simpele aanpassing in de exploitcode die hij had ontwikkeld. Dit veranderde vervolgens de status van de kwetsbaarheid in zero-day.
Hoe kan de kwetsbaarheid worden misbruikt??
Volgens Mitja Kolsek van 0Patch, “de crux van de aanval zit in het snel creëren van een symbolische link in de tijdelijke gebruikersprofielmap (C:\GebruikersTEMP) zodat wanneer de gebruikersprofielservice een map kopieert uit de oorspronkelijke profielmap van de gebruiker, het zal uiteindelijk ergens anders een map maken – waar de aanvaller normaal gesproken geen rechten zou hebben om er een te maken.”
Wanneer de gebruikersprofielservice een map kopieert uit de oorspronkelijke profielmap van de gebruiker, de symbolische link dwingt het om een map te maken met een kwaadaardige DLL-payload op een locatie waar de aanvaller normaal geen machtigingen zou hebben.
De onofficiële micropatch lost het probleem op door de beveiligingscontrole voor symbolische links uit te breiden naar het volledige bestemmingspad en de functie "GetFinalPathNameByHandle" aan te roepen.
“Onze micropatch breidt de onvolledige veiligheidscontrole van de fix van Microsoft uit naar het volledige bestemmingspad door GetFinalPathNameByHandle aan te roepen en zo eventuele symbolische koppelingen op te lossen.. Dan, door het oorspronkelijke pad en de te vergelijken “opgelost” pad, het bepaalt of er symbolische links aanwezig zijn; als niet, oorspronkelijke code-uitvoering wordt hervat, anders wordt het aanmaken van een tijdelijk gebruikersprofiel afgebroken," 0Patch uitgelegd.
“Micropatches voor dit beveiligingslek zijn gratis totdat Microsoft een officiële oplossing heeft uitgebracht,"voegde het team toe.