Windows ALPC Zero-Day-Schwachstelle im Task-Scheduler

Mitglied: kgborn

kgborn (Level 2) - Jetzt verbinden

28.08.2018, aktualisiert 16:23 Uhr, 3577 Aufrufe, 8 Kommentare, 4 Danke

Es gibt eine 0-day Schwachstelle im ALPC Interface des Task-Scheduler (Aufgabenplanung), die lokalen Nutzern eine Rechteausweitung bis auf SYSTEM-Privilegien ermöglicht. Glücklicherweise nur lokal ausnutzbar. Was ich bisher weiß, habe ich mal in folgendem Beitrag zusammen getragen.

Neue Windows ALPC Zero-Day-Schwachstelle entdeckt
Mitglied: DerWoWusste
28.08.2018, aktualisiert um 18:56 Uhr
Moin.

Ich gehe mal davon aus, dass Sie sich damit befasst haben.
Im write-up.docx des PoC steht, dass man einen Hardlink erstellt, um das auszunutzen. Nicht-Admins können jedoch gar keine Hardlinks erstellen (mklink /h). Hat sich der Autor nur falsch ausgedrückt, oder testet er bereits mit einem Adminuser?
Bitte warten ..
Mitglied: kgborn
28.08.2018, aktualisiert um 20:05 Uhr
Das stimmt, mit Standardbenutzerrechten lässt sich mit dem PoC wenig anfangen (falls ich nichts übersehen habe - zum Testen habe ich aktuell keine 64-Bit-VM). Da aber so einige Leute unter Windows nur mit dem einen, beim Setup angelegten Benutzerkonto arbeiten, sind die Administrator-Berechtigungen gegeben. Und ich bekomme von den Administratoren bei Blog-Beiträgen, wo ich vorschlage, mit Standardbenutzerrechten zu arbeiten, meist die Antwort 'macht kein Mensch, mir passiert schon nichts'. In sauber administrierten Unternehmenumgebungen dürften die Standard-Nutzer nicht gefährdet sein. Aber es soll ja auch schon Administratoren gegeben haben, die die Schleuse für WannaCry & Co. geöffnet haben.
Bitte warten ..
Mitglied: DerWoWusste
28.08.2018 um 20:18 Uhr
Wenn eh Admin, wäre es aber keine Rechteausweitung mehr, denn Systemrechte kann sich jeder Admin problemlos verschaffen. Ließe sich sofort klären, wenn man den PoC Code als Nichtadmin ausführt.
Bitte warten ..
Mitglied: kgborn
29.08.2018 um 06:31 Uhr
Scheint nicht so einfach zu sein. Mir ist es zwar nicht gelungen, unter einem Standard-Konto mit der DLL-Injektion eine Rechteausweitung zu erreichen. Ich gehe aber davon aus, dass dies mein Fehler ist und ich etwas übersehen habe. Es scheint wohl so zu sein, dass sich bestimmte Hardlinks mit Standard-Berechtigungen anlegen lassen. Aber das sollen Berufenere verifizieren.
Bitte warten ..
Mitglied: DerWoWusste
29.08.2018 um 08:01 Uhr
Ich konnte zumindest erreichen, dass eine notepad.exe mit Systemrechten gestartet wurde, was ja auch der Film demonstriert - es geht also. Aber es geht nicht zuverlässig - auf einem zweiten System gelang das mit dem selben Befehl (natürlich geänderte PID) eben nicht.
Bitte warten ..
Mitglied: DerWoWusste
29.08.2018, aktualisiert um 16:33 Uhr
Ich habe noch nicht verstanden, warum es vorhin nicht ging - nun geht es auch auf dem Zweitsystem.
Ich habe nun die ACL auf c:\windows\system32\tasks verändert und dem Nutzer Schreibrechte genommen (nun lediglich "read permissions" übrig gelassen). Resultat: der Exploit funktioniert nicht mehr, aber der Scheduler ist weiterhin nutzbar (Tasks laufen, können von Admins angelegt werden...). Es sieht wie ein gangbarer Workaround aus, bis der Patch da ist.

Ich schätze, der einzige Nebeneffekt ist, dass keine .job Files mehr auf die vom Exploit ausgenutzte Weise verarbeitet werden - aber das stört vermutlich niemanden mehr.
Bitte warten ..
Mitglied: kgborn
29.08.2018, aktualisiert um 16:44 Uhr
Ah danke für die Ergänzung - ich bin genau an diesem Problem mit Notepad auf meinem W7 Testsystem gescheitert.
Bitte warten ..
Mitglied: Herbrich19
30.08.2018 um 01:46 Uhr
Also in der Uni Hamburg, in Netzwerk der Herbrich Corporation (ja selbst ich) überall dort wird mit Standart Konten gearbeitet. Ich meine selbst die UAC ist mir nicht gehäuser und nervt nur weswegen ich dann schon lieber ganz auf admin verzichte zum Arbeiten.

Developer Terminal Server sind bei mir z.B. eine Ausnahme aber da dürfen auch nur bestimmte Nutzergruppen ran die endsprechende Kentniss haben und auch nur für die ausführung von Visual Studio und co. Die Systeme werden alle Nachts um 00:00 Uhr Zurückgesetzt (alle Files liegen auf Team Foundation und da geht auch alle 2 Stunden eine AV durch).

Also mein Persönliches Fazit ist, wenn man nicht gerade als privat User Zuhause chillt sollte User eigentlich keine Admin Rechte haben und Admins (sollten) wisssen was man eigentlich nicht anklicken sollte


LG, J Herbrich
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Server fährt um 22:04 einfach runter
achim22Vor 21 StundenFrageWindows Server17 Kommentare

Hi, ich habe seit drei Tagen das Problem das sich das Blech einfach runter fährt, ohne jeglichen Grund. Dachte erst es liegt an den ...

Off Topic
Probearbeit als Systemadministrator
xsheynVor 23 StundenAllgemeinOff Topic10 Kommentare

Hallo zusammen, aktuell suche ich eine neue Stelle und wurde nun für 2 Tage zum Probearbeiten eingeladen. Die Stelle wäre als IT-Systemadministrator im Service ...

Windows 7
Windows 7 fast alle Programme melden zeitweise "keine Rückmeldung"
GerdlangVor 12 StundenFrageWindows 723 Kommentare

Im Oktober 2020 wurde mein Rechner von einem Virus befallen. Habe ihn dann zur Softwarereparatur in eine renomierte IT-Werkstatt gegeben. Danach war alles OK. ...

Netzwerkgrundlagen
Kleine Verständnisfrage VLAN
gelöst cptkrabbeVor 1 TagFrageNetzwerkgrundlagen6 Kommentare

Hallo an alle. Ich habe folgende Verständnisfrage: Vier Switche, Netzwerk, sagen wir mal 10.10.1.0/24, soll an Switch 4 und 1 anliegen. Anderes Netzwerk , ...

Windows Server
Domänencontroller - LDAPS via TLS1.2
gelöst Philipp711Vor 1 TagFrageWindows Server8 Kommentare

Hallo Leute, ich habe ein kleines Verbindungsproblem zwischen einer Java-Anwendung (java11) und unserem Domänencontroller. Ich erhalte folgenden Fehler: Per Openssl habe ich mal die ...

Notebook & Zubehör
Notebook zurücksetzen "ohne" Passwort abfrage
gelöst ZeppelinVor 23 StundenFrageNotebook & Zubehör11 Kommentare

Hallo zusammen, ich habe ein Lenovo ThinkPad und möchte dieses so einrichten, dass es nicht möglich ist dieses ohne weiteres Zurückzusetzten. Ich habe hierzu ...

Hardware
Problem bei gleichzeitiger Nutzung Bluetooth Headset Laptop u. Smartphone
cramtroniVor 1 TagFrageHardware7 Kommentare

Guten Tag zusammen, ich habe ein Problem und zwar nutze ich ein Bluetooth Headset, das gleichzeitig mit meinem Laptop und meinem Smartphone verbunden ist. ...

Outlook & Mail
Outlook 2016 gelber Briefumschlag in der Taskleiste
DavidHergVor 1 TagFrageOutlook & Mail4 Kommentare

Guten Abend, ich nutze Outlook 2016 64-bit auf WIndows 10 20H2. ich habe mehrere Ordner mit Unterordnern, wo E-Mails abgelegt werden durch Regeln. Gibt ...