False File Immutability Exploit hebelt Windows Code Integrity aus

Gabriel Landau von Elastic Security hat auf den Konferenzen BlueHat IL 2024 und REcon Montreal 2024 den Exploit ItsNotASecurityBoundary präsentiert. Dieser nutzt die Schwachstelle False File Immutability (FFI) aus, die auf falschen Annahmen über die Unveränderlichkeit von Dateien beruht, selbst wenn Schreibzugriffe durch den FILE_SHARE_WRITE-Parameter verweigert werden. Diese Schwachstelle betrifft sowohl traditionelle I/O-Operationen als auch speichergemappte I/O und kann sowohl Benutzer- als auch Kernelmodus-Code betreffen.

Der Exploit nutzt FFI-Annahmen im Windows Code Integrity (ci.dll) aus, um gefälschte Authentifizierungshashes einzuschleusen und so beliebige Treiber zu laden, selbst unsignierte. Ein erfolgreicher Angriff erfordert, dass der Angreifer während des Validierungs- und Parsingprozesses des Sicherheitskatalogs bösartige Authentifizierungshashes einfügt. Dies ist ein nicht-deterministischer Angriff, der mehrere Versuche erfordern kann.

Microsoft hat bereits mit einem Update (KB5036980 Preview) auf den gemeldeten Exploit reagiert, und der Fix wurde am 14. Mai 2024 für Windows 11 23H2 veröffentlicht. Trotz der Beseitigung dieser speziellen Schwachstelle bleibt die FFI-Klasse von Sicherheitslücken relevant, da sie weiterhin potenziell ausnutzbare Schwachstellen enthält. Landau betont die Bedeutung der Behebung solcher Schwachstellen, um die Sicherheit der Benutzer zu gewährleisten.

Related Posts

RCE Schwachstelle in Cisco RV340 und RV345 Dual WAN Gigabit VPN Routern

Eine Schwachstelle im Upload-Modul der Cisco RV340 und RV345 Dual WAN Gigabit VPN Router kann einem authentifizierten, entfernten Angreifer ermöglichen, beliebigen Code auf einem betroffenen Gerät auszuführen. Diese Schwachstelle resultiert aus unzureichenden Grenzprüfungen bei der Verarbeitung bestimmter HTTP-Anfragen. Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, als Root-Benutzer auf dem Betriebssystem des Geräts beliebigen Code auszuführen.

Read More

Kritische SQL-Injection-Schwachstelle in 1Panel gefunden

In der Software 1Panel wurde eine kritische SQL-Injection-Schwachstelle entdeckt, die mit der orderBy-Klausel zusammenhängt. Diese Schwachstelle, die als CVE-2024-39907 identifiziert wurde, ermöglicht Remote Code Execution (RCE) und Datenlecks.

Read More

Symantec Privileged Access Manager: Wichtiger Hotfix 4.1.7.50

Am 12. Juli 2024 wurde ein kumulativer Hotfix für Symantec Privileged Access Manager (PAM) 4.1.7.50 veröffentlicht. Dieser Hotfix adressiert mehrere kritische Sicherheitslücken und funktionale Probleme, die in der neuesten Version von PAM aufgetreten sind.

Read More