Lokale Rechteausweitungsschwachstelle in LibreWolf für Windows

Überblick

CVE-2025-11940 ist eine Sicherheitsschwachstelle im Installationsprozess des LibreWolf-Browsers (Version 143.0.4-1 und älter) unter Windows. Die Schwachstelle fällt in die Kategorie "Unkontrollierter Suchpfad" oder "DLL-Preloading" im Installationsprogramm (setup.nsi). Dies ermöglicht es einem lokalen Angreifer, den Installationsvorgang zu manipulieren, indem er eine speziell präparierte Datei an einem bestimmten Ort platziert, was zur Ausführung von schädlichem Code führen kann.

• CVSS 3.x/4.0 Score: 7,3 (HOCH)
• Betroffene Versionen: LibreWolf für Windows Version 143.0.4-1 und älter.
• Gepatchte Version: LibreWolf für Windows Version 144.0-1 und neuer.
• Schwachstellentyp: UNKONTROLLIERTER SUCHPFAD (CWE-427)
• Erforderlicher Zugriff: Lokal
• Komplexität: Hoch

Technische Analyse der Schwachstelle

Die Schwachstelle befindet sich im NSIS-basierten (Nullsoft Scriptable Install System) Installationsprogramm (Datei assets/setup.nsi) für LibreWolf unter Windows.

Wie funktioniert sie?

1. Installationsprozess: Wenn ein Benutzer die LibreWolf_Installer.exe (oder ähnlich) ausführt, um LibreWolf zu installieren, führt das Installationsprogramm verschiedene Operationen durch (Entpacken von Dateien, Schreiben in temporäre Verzeichnisse, Erstellen von Registry-Einträgen, etc.).
2. DLL-Suchreihenfolge: Wenn eine Anwendung (hier: das Installationsprogramm) eine Dynamic Link Library (DLL) benötigt, folgt Windows einer bestimmten Reihenfolge, um diese Datei zu finden. Typischerweise ist diese Reihenfolge:
   • 1. Das Verzeichnis, aus dem die Anwendung gestartet wurde.
   • 2. Systemverzeichnisse (C:\Windows\System32).
   • 3. Das Windows-Verzeichnis.
   • 4. Die in der PATH-Umgebungsvariable gelisteten Verzeichnisse.
3. Entstehung der Schwachstelle: Das betroffene LibreWolf-Installationsprogramm lädt DLLs unsicher. Bei der Suche nach einer oder mehreren System-DLLs (z.B. version.dll, propsys.dll) durchsucht es zuerst das aktuelle Arbeitsverzeichnis der Anwendung.
4. Angriffsvektor: Ein Angreifer kann eine schädliche DLL in dem Verzeichnis platzieren, von dem aus die Installation gestartet wird (z.B. der Downloads-Ordner des Benutzers), und sie genau so benennen wie eine System-DLL, nach der das Installationsprogramm sucht (z.B. version.dll).
5. Ausführung von Schadcode: Wenn das Installationsprogramm ausgeführt wird, findet und lädt es die schädliche DLL des Angreifers anstelle der legitimen System-DLL. Dies führt dazu, dass der Code des Angreifers mit den Berechtigungen des Benutzers ausgeführt wird, der die Installation gestartet hat.

Warum ist die Schwachstelle so kritisch?

• Rechteausweitung: Ein Angreifer kann Code im Kontext des Benutzers ausführen, der das Installationsprogramm startet. Wenn der Benutzer Administratorrechte hat, kann die Auswirkung des Angriffs erheblich größer sein.
• Heimlichkeit: Da der Installationsvorgang eine legitime, vom Benutzer initiierte Aktion ist, weckt er keinen Verdacht.

Beispielszenarien

Szenario 1: Angriff aus dem Downloads-Ordner

1. Ein Angreifer sendet einem Opfer eine schädliche version.dll-Datei als E-Mail-Anhang oder über eine Website.
2. Das Opfer lädt diese Datei ahnungslos herunter, typischerweise in den C:\Users\[Benutzername]\Downloads-Ordner.
3. Später doppelklickt das Opfer auf die LibreWolf_Installer.exe-Datei, die sich im selben Downloads-Ordner befindet, um die Installation zu starten.
4. Während das Installationsprogramm läuft, sucht es nach version.dll und schaut zuerst in sein eigenes Startverzeichnis (also den Downloads-Ordner).
5. Es findet die schädliche version.dll des Angreifers und lädt sie.
6. Der Code der schädlichen DLL wird mit den Berechtigungen des Opfer-Benutzerkontos ausgeführt. Dieser Code könnte andere Schadsoftware herunterladen und installieren, persönliche Daten stehlen oder dauerhaften Zugriff auf das System einrichten.

Szenario 2: Angriff über Netzwerkfreigabe

1. In einer Unternehmensumgebung gibt es eine freigegebene Netzwerkfestplatte (\\SERVER\InstallerApps\), die für Softwareinstallationen genutzt wird.
2. Ein Angreifer, der in das interne Netzwerk eingedrungen ist, oder ein böswilliger Insider platziert eine schädliche propsys.dll-Datei auf dieser Freigabe.
3. Ein Benutzer führt das LibreWolf-Installationsprogramm (LibreWolf_Installer.exe) von dieser Netzwerkfreigabe aus.
4. Das Installationsprogramm lädt die schädliche propsys.dll, und der Code des Angreifers wird innerhalb des Unternehmensnetzwerks mit den Netzwerk-Anmeldedaten und Berechtigungen dieses Benutzers ausgeführt. Dies könnte einen Ausgangspunkt für laterale Bewegung innerhalb des Netzwerks schaffen.

Lösung und Schutzmaßnahmen

1. Update: Die wirksamste Lösung ist ein Update von LibreWolf auf Version 144.0-1 oder höher. Die Entwickler haben diese Schwachstelle mit dem Commit dd10e31dd873e9cb309fad8aed921d45bf905a55 im Installationsskript (setup.nsi) behoben.
2. Sichere Installationspraktiken:
   • Laden Sie Installationsprogramme immer von offiziellen Websites (librewolf.net) herunter.
   • Führen Sie das heruntergeladene Installationsprogramm nach Möglichkeit aus einem sauberen Verzeichnis mit eingeschränkten Schreibberechtigungen aus (z.B. nicht direkt aus einem unübersichtlichen Verzeichnis wie dem Downloads-Ordner).
   • Überprüfen Sie vor dem Ausführen von Installationsprogrammen aus unsicheren Quellen die Dateisignaturen.
3. Systemweite Maßnahmen:
   • Verwenden Sie Benutzerkonten ohne Administratorrechte für alltägliche Aufgaben. Dies schränkt die Auswirkungen eines erfolgreichen Angriffs erheblich ein.
   • Verwenden Sie eine aktuelle Antivirensoftware oder eine Next-Generation Security-Lösung.

Fazit

Auch wenn CVE-2025-11940 auf den ersten Blick wie eine einfache "lokale" Schwachstelle erscheint, handelt es sich um ein Problem der Rechteausweitung, das unter den richtigen Umständen zu schwerwiegenden Konsequenzen führen kann. Die Existenz einer solchen Schwachstelle im Installationsmechanismus von LibreWolf, einem sicherheitsfokussierten Browser, ist besonders bemerkenswert. Für Benutzer sind das regelmäßige Verfolgen von Softwareupdates und das Befolgen sicherer Installationsgewohnheiten der grundlegende Schlüssel zum Schutz vor solchen Angriffen.