Eine Mitte März 2024 veröffentlichte Sicherheitslücke betrifft die Windows Installer Software WiX Installer. Burn-basierte Bundles unter SYSTEM-Benutzerkonto ausgeführt, sind anfällig für ein Binärdatei-Hijacking sind. Die Schwachstelle, veröffentlicht unter einem Security Advisory auf Github, hat in der Entwicklergemeinschaft erhebliche Besorgnis erregt.
Betroffen sind Versionen des WixToolset.Sdk vor 4.0.5, sowie Versionen des wix-Pakets, die älter als 3.14.1 und im Bereich von >= 4 bis < 4.0.5 liegen. Anwender werden dringend aufgefordert, auf die gepatchten Versionen 3.14.1 oder 4.0.5 zu aktualisieren, um sich vor möglichen Angriffen zu schützen.
Das Kernproblem liegt darin, dass Burn ein ungeschütztes Verzeichnis, C:\Windows\Temp, verwendet, um Binärdateien zu kopieren und von dort auszuführen. Diese Vorgehensweise eröffnet eine Angriffsfläche, da das Verzeichnis nicht vollständig gegen Zugriffe von Benutzern mit niedrigen Privilegien abgesichert ist.
Wenn ein Bundle als SYSTEM-Benutzer ausgeführt wird, verwendet Burn die Funktion GetTempPathW, die auf das unsichere Verzeichnis C:\Windows\Temp verweist, um mehrere Binärdateien abzulegen und zu laden. Normale Benutzer können die Binärdatei kapern, bevor sie in der Anwendung geladen wird, was zu einer Erhöhung der Privilegien führen kann.
Der Proof of Concept funktioniert gegen den Visual Studio Enterprise-Installer mit Update 3. Durch Ausführen des PoC als Standardbenutzer und Starten des Visual Studio-Installers als lokales Systemkonto kann der PoC die vom VS-Installer abgelegten Binärdateien kapern, was zur Folge hat, dass ein Kindprozess „notepad.exe“ ausgeführt wird.
Diese Sicherheitslücke stellt eine Erhöhung der Privilegien dar, bei der ein Benutzer mit niedrigen Privilegien Binärdateien in einem ungeschützten Pfad kapern und SYSTEM-Benutzerprivilegien erlangen kann. Diese Art von Schwachstelle ist besonders kritisch, da sie Angreifern erlaubt, weitreichende Änderungen am System vorzunehmen, die sonst auf höher privilegierte Konten beschränkt wären.
Benutzer von WiX Burn-basierten Bundles sollten umgehend Updates installieren, um ihre Systeme zu aktualisieren und diese kritische Sicherheitslücke zu schließen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns:
+49 (0) 89 339 800 807
info@sentiguard.eu
Eine Mitte März 2024 veröffentlichte Sicherheitslücke betrifft die Windows Installer Software WiX Installer. Burn-basierte Bundles unter SYSTEM-Benutzerkonto ausgeführt, sind anfällig für ein Binärdatei-Hijacking sind. Die Schwachstelle, veröffentlicht unter einem Security Advisory auf Github, hat in der Entwicklergemeinschaft erhebliche Besorgnis erregt.
Betroffen sind Versionen des WixToolset.Sdk vor 4.0.5, sowie Versionen des wix-Pakets, die älter als 3.14.1 und im Bereich von >= 4 bis < 4.0.5 liegen. Anwender werden dringend aufgefordert, auf die gepatchten Versionen 3.14.1 oder 4.0.5 zu aktualisieren, um sich vor möglichen Angriffen zu schützen.
Das Kernproblem liegt darin, dass Burn ein ungeschütztes Verzeichnis, C:\Windows\Temp, verwendet, um Binärdateien zu kopieren und von dort auszuführen. Diese Vorgehensweise eröffnet eine Angriffsfläche, da das Verzeichnis nicht vollständig gegen Zugriffe von Benutzern mit niedrigen Privilegien abgesichert ist.
Wenn ein Bundle als SYSTEM-Benutzer ausgeführt wird, verwendet Burn die Funktion GetTempPathW, die auf das unsichere Verzeichnis C:\Windows\Temp verweist, um mehrere Binärdateien abzulegen und zu laden. Normale Benutzer können die Binärdatei kapern, bevor sie in der Anwendung geladen wird, was zu einer Erhöhung der Privilegien führen kann.
Der Proof of Concept funktioniert gegen den Visual Studio Enterprise-Installer mit Update 3. Durch Ausführen des PoC als Standardbenutzer und Starten des Visual Studio-Installers als lokales Systemkonto kann der PoC die vom VS-Installer abgelegten Binärdateien kapern, was zur Folge hat, dass ein Kindprozess „notepad.exe“ ausgeführt wird.
Diese Sicherheitslücke stellt eine Erhöhung der Privilegien dar, bei der ein Benutzer mit niedrigen Privilegien Binärdateien in einem ungeschützten Pfad kapern und SYSTEM-Benutzerprivilegien erlangen kann. Diese Art von Schwachstelle ist besonders kritisch, da sie Angreifern erlaubt, weitreichende Änderungen am System vorzunehmen, die sonst auf höher privilegierte Konten beschränkt wären.
Benutzer von WiX Burn-basierten Bundles sollten umgehend Updates installieren, um ihre Systeme zu aktualisieren und diese kritische Sicherheitslücke zu schließen.