In Windows steckt eine Sicherheitslücke, die mit den November-Updates geschlossen werden sollte. Sie ermöglichte lokalen Nutzern, ihre Rechte im System auszuweiten. Damit sollte das Thema eigentlich erledigt sein. Doch laut Sicherheitsforscher Abdelhamid Naceri, der die Lücke gemeldet hatte, wurde die Lücke nicht richtig gepatcht, sodass er die Rechte weiterhin unbefugt manipulieren konnte. Die ursprüngliche Schwachstelle war bereits eine Rechteausweitung im Windows Installer (CVE-2021-41379), die Microsoft mit dem Schweregrad CVSS 5.5 – mittleres Risiko – eingestuft hat. Bei der Analyse des Patches gegen die Schwachstelle stieß Naceri eigenen Angaben zufolge auf zwei weitere Sicherheitslücken. In einem Github-Projekt erläutert er Details und liefert auch eine Proof-of-Concept-(PoC)-Software. Ciscos IT-Sicherheitsforschungsabteilung Talos hat erste Malware-Samples in freier Wildbahn entdeckt, die diesen neuen Angriff aufgreifen und zur Rechteausweitung im System ausnutzen. Der renommierte IT-Sicherheitsexperte Kevin Beaumont bestätigt die Funktion des Exploits und damit auch die Sicherheitslücken via Twitter. Betroffen sind Naceris Erläuterungen zufolge alle aktuell unterstützten Windows-Versionen, einschließlich Windows 11 und Server 2022. Sein Demo-Exploit namens InstallerFileTakeOver verschafft auch einem eingeschränkten Benutzer Zugriffsrechte auf beliebige Dateien; das ist gleichbedeutend mit System-Rechten. Vorsorglich weist Naceri darauf hin, dass sein Vorgehen beim Ausnutzen der Lücke den Microsoft Edge elevation service DACL erfordert, der auf manchen Server-Versionen nicht verfügbar sein könnte. Für Abhilfe könne man aufgrund der Komplexität der Schwachstelle bislang nur auf einen neuen, wirksamen Patch von Microsoft warten, meint Naceri. Jeder Versuch, die ausführbare Datei des Windows Installers direkt zu patchen, würde diesen zerstören.