Windows Installer权限提升漏洞EXP研究分析

玄蜂安全团队通过巡镜网络资产风险情报系统监测发现Windows Installer权限提升漏洞EXP(漏洞利用程序)在互联网上公开,公开的EXP为CVE-2021-41379(Microsoft Windows Installer)变体,该变体可绕过微软发布的CVE-2021-41379补丁,包括微软11月最新补丁,目前还处于0day(未存在修复补丁)状态。

#漏洞详情

该漏洞由国外研究员Abdelhamid Naceri发现的,他在检查微软修复的补丁时,发现了一个绕过补丁和一个更强大的新零日特权提升漏洞。并在Github上发布了新0day的概念验证程序,还说起可绕过目前所支持的所有Windows版本(包括Windows11和Server 2022)。

经过玄蜂团队安全研究员对公开的EXP进行验证,发现其漏洞利用程序主要通过将其复制到微软Edge提升服务(MicrosoftEdgeElevationService)(elevation_service.exe)中进行执行来获取权限。

图1为玄蜂团队在本地测试的结果,测试电脑为Windows 11 21H2(最新版本,包含11月最新补丁),成功利用该程序获取电脑的System权限。

图2为装有Edge浏览器的Windows Server 2016操作系统。(图2中的elevation_server.exe为低版本替换文件)

经过玄蜂团队安全研究员对公开的EXP进行分析,发现公开的EXP需要微软Edge提升服务(MicrosoftEdgeElevationService)支持,目前发现其对于最新的Edge浏览器(96.0开头)版本无法进行利用,但存在替换利用的方法,可将低版本Edge浏览器(如85版本)下的elevation_service.exe文件进行替换执行。玄蜂团队已将该漏洞EXP进行优化升级,如需技术交流,可与团队联系:Lab@Xsec.Team(仅供技术研究使用)。

#受影响版本

经过测试,所有安装有低版本Edge(低于96.0开头的版本)的Windows操作系统均会受到该漏洞利用程序的影响,如果操作系统中未安装Edge浏览器,不受该漏洞利用程序的影响。

#修复建议

由于该漏洞目前还没有发布官方补丁,但公开的漏洞利用程序是利用Edge提升服务来获取权限,故可通过禁用操作系统中Edge的提升服务来进行限制。

Edge提升服务的名称为“MicrosoftEdgeElevationService”:

可以发现当禁用“MicrosoftEdgeElevationService”服务后,公开的漏洞利用程序利用失败。