Thought Leadership
Die Sicherheit von Softwareinstallationen ist ein oft übersehener, aber kritischer Bestandteil jedes modernen Betriebssystems.
Besonders in Windows-Systemen spielen MSI-Installationsdateien eine zentrale Rolle, da sie die Installation, Deinstallation und Reparatur von Softwarepaketen standardisieren. Doch diese Funktionen, insbesondere die Reparaturmechanismen, sind nicht ohne Schwachstellen. Obwohl die Sicherheitslücke in Microsoft Windows MSI-Installationsdateien (CVE-2024-38014) bereits seit einiger Zeit bekannt ist und von verschiedenen Experten beschrieben wurde, hat Microsoft erst kürzlich Maßnahmen ergriffen, um auf Betriebssystemebene gezielt dagegen vorzugehen. Die Sicherheitslücke ermöglicht es Angreifern, ihre Rechte auf SYSTEM-Ebene zu erweitern – einer der höchsten Berechtigungen auf einem Windows-System.
Sicherheitsprüfungen und Incident Response
Moderne Softwareentwicklungsprozesse müssen von kontinuierlichen Security-Tests begleitet werden, die Schwachstellen in allen Phasen des Software-Lebenszyklus identifizieren. Zusätzlich spielt schnelle Reaktion mit Incident Response eine entscheidende Rolle, um den Schaden bei potenzielle Sicherheitsvorfälle zu minimieren. Diese Prozesse werden oft in dedizierten Vulnerability Labs durchgeführt, die Angriffe auf Sicherheitssysteme simulieren und Lösungen entwickeln, um Schwachstellen wie die in diesem Fall beschriebene Sicherheitslücke zu adressieren.
Das Problem: Reparaturvorgänge als Angriffsziel
Das MSI-Dateiformat erlaubt es, Softwareinstallationen nicht nur durchzuführen, sondern auch zu reparieren. Dabei wird häufig übersehen, dass die Reparaturfunktionen ohne erhöhte Rechte ausgeführt werden können. Dies bedeutet, dass ein Benutzer mit niedrigen Rechten die Reparatur anstoßen kann, während der eigentliche Vorgang im Kontext der NT AUTHORITY\SYSTEM-Rechte abläuft. Genau hier liegt das Risiko: Ein Angreifer kann in diesen Prozess eingreifen und die Rechteausweitung nutzen, um weitreichenden Zugriff auf das System zu erlangen.
Dieser Angriffsvektor ist besonders gefährlich, weil er lokal, also auf dem betroffenen System selbst, durchgeführt werden kann. Während viele Sicherheitslücken über das Netzwerk ausgenutzt werden, erfordert dieser Angriff keine Netzwerkzugriffe, was ihn für interne Bedrohungen oder für den Missbrauch auf freigegebenen Systemen besonders relevant macht.
Die Schwachstelle: Einblick in CVE-2024-38014
Die Schwachstelle CVE-2024-38014 wurde erstmals im September 2024 veröffentlicht und erregte in der IT-Sicherheitsgemeinschaft schnell Aufmerksamkeit. Sie betrifft insbesondere den Reparaturvorgang von MSI-Installationen, bei dem unter bestimmten Bedingungen ein kurzes Fenster erscheint, das für den Angriff genutzt werden kann. In diesem Moment des Reparaturprozesses kann ein Angreifer durch gezielte Manipulationen seine Benutzerrechte auf SYSTEM-Rechte erhöhen.
Frühere Ansätze, diese Schwachstelle auszunutzen, versuchten, das System zu verlangsamen, sodass das Fenster länger geöffnet bleibt. Dieser Trick erwies sich jedoch als unzuverlässig. Im Gegensatz dazu haben Sicherheitsexperten eine neue Methode entwickelt, die den Reparaturvorgang vollständig pausiert. Diese Technik ist effektiver und erhöht die Chancen, dass der Angriff erfolgreich ausgeführt werden kann. Mithilfe eines Tools namens SetOpLock.exe wird ein Datei-Lock erstellt, der dafür sorgt, dass der Reparaturprozess so lange angehalten wird, bis der Angreifer Zugriff auf das System erlangt hat.
Ein Tool zur Identifikation von Schwachstellen
Neben der detaillierten Analyse der Schwachstelle hat das SEC Consult Vulnerability Lab, ein Unternehmen von Eviden, ein Open-Source-Tool namens „msiscan“ entwickelt, das Sicherheitslücken in MSI-Dateien automatisch erkennen kann. msiscan bietet Sicherheitsexperten die Möglichkeit, potenziell unsichere Installationsdateien zu überprüfen und Schwachstellen frühzeitig zu identifizieren, bevor sie von Angreifern ausgenutzt werden. Das Tool analysiert insbesondere die Reparaturfunktion von MSI-Dateien auf unsichere Aktionen.
Die Angriffsmethode im Detail
Der Kern des Angriffs basiert auf dem Missbrauch von Kommandozeilen-Fenstern, die während der Reparatur von MSI-Installationen kurzzeitig mit erhöhten Rechten geöffnet werden. Diese Konsolenfenster werden von Prozessen wie conhost.exe gesteuert, die systemweite Rechte haben. Durch die geschickte Interaktion mit diesen Fenstern kann mit wenigen Schritten ein Browser und anschließend ein interaktives Fenster mit SYSTEM-Rechten geöffnet werden.
Durch das Tool ProcMon lässt sich nachvollziehen, welche Dateien während der Reparaturprozedur aufgerufen werden. Der Angreifer kann diese Dateien gezielt mit SetOpLock.exe sperren, um das Kommandozeilen-Fenster dauerhaft offenzuhalten, wodurch der Exploit deutlich zuverlässiger wird.
SYSTEM-Rechte: Warum sie so gefährlich sind
SYSTEM-Rechte stellen die höchsten Berechtigungen auf einem Windows-System dar. Prozesse, die unter diesem Kontext laufen, haben uneingeschränkten Zugriff auf das gesamte System. Ein Angreifer, der SYSTEM-Rechte erlangt, kann:
- Sicherheitslösungen deaktivieren oder manipulieren.
- Malware installieren oder bestehende Software modifizieren.
- Netzwerksicherheitsrichtlinien umgehen und Angriffe auf andere Systeme im Netzwerk starten.
- Auf sensible Daten zugreifen und diese exfiltrieren.
Die Tatsache, dass ein lokaler Benutzer durch eine scheinbar harmlose Funktion wie die Reparatur einer Software solche Rechte erlangen kann, macht diese Schwachstelle besonders kritisch.
Weitere Sicherheitslücken und CVEs
SEC Consult hat im Zuge seiner Untersuchungen zahlreiche MSI-Installationsdateien analysiert und Schwachstellen in verschiedenen Produkten identifiziert. Zu den bekannten Schwachstellen gehören unter anderem:
- PDF24 Creator (CVE-2023-49147): Gefunden von Lukas Donaubauer & Mario Keck; Lukas Donaubauer entwickelte den neuen Ansatz mit SetOpLock.exe und hat die Grundlage für die folgenden Untersuchungen gelegt.
- SoftMaker Office 2024 (CVE-2023-7270)
- Nitro PDF Pro (CVE-2024-35288)
Darüber hinaus wurde eine Schwachstelle in der Perimeter 81-Software, einer VPN-Lösung von Check Point, entdeckt. Die Version 9 der Software war angreifbar, während die Version 10 die Schwachstelle nicht mehr enthielt.
Sicherheitsmaßnahmen und Empfehlungen
Microsoft hat die Schwachstelle CVE-2024-38014 im Rahmen des Patch-Days im September 2024 behoben. Der Patch implementiert eine User Account Control (UAC)-Eingabeaufforderung, wenn eine MSI-Installation eine Aktion mit erhöhten Rechten ausführt. Diese Maßnahme verhindert die Möglichkeit, die Schwachstelle ohne Benutzerinteraktion auszunutzen.
Auch wenn Microsoft inzwischen einen Fix bereitgestellt hat, bleibt es für MSI-Paket-Autoren sinnvoll, die Verwendung von Kommandozeilenprogrammen zu vermeiden, die automatisch ein Konsolenfenster öffnen. Als zusätzlicher Sicherheitsansatz kann die Verwendung des WiX Toolsets in Erwägung gezogen werden, das Funktionen bereitstellt, um Programme im Hintergrund auszuführen, ohne ein sichtbares Fenster zu öffnen. Alternativ können Entwickler eine eigene DLL erstellen, um Programme ohne sichtbares Fenster zu starten.
Fazit: Handlungsbedarf für IT-Administratoren
Die Schwachstelle CVE-2024-38014 verdeutlicht die gravierenden Sicherheitsrisiken, die mit unsicher implementierten Installations- und Reparaturfunktionen verbunden sind. Durch den gezielten Einsatz von Werkzeugen wie msiscan und SetOpLock.exe können Angreifer SYSTEM-Rechte erlangen und somit nahezu uneingeschränkten Zugriff auf das System erhalten. Es ist daher unerlässlich, dass IT-Abteilungen ihre Sicherheitsprozesse stärken und proaktive Maßnahmen ergreifen, um solche Angriffe zu verhindern. Werkzeuge wie msiscan bieten einen ersten Schritt in Richtung einer umfassenden Sicherheitsüberprüfung von MSI-Dateien und helfen dabei, potenzielle Schwachstellen frühzeitig zu identifizieren und zu beheben.
Michael Baer / SEC Consult Vulnerability Lab
| it-sa Expo&Congress Besuchen Sie uns in Halle 7a 510 |
