derwowusste
Goto Top

Sandbox Escaper Exploit abfedern

Moin.

Es geht in den IT-Security News ja gerade um, dass ein Exploit besteht (gefunden von SandboxEscaper), der Usern erlaubt, sich zu Admins zu befördern. Das habe ich ausgetestet und es geht erschreckend einfach, weshalb ich nicht bis zum nächsten Microsoft Patchday warten möchte, welcher das wieder gerade zieht.

Meine Idee ist, die Nutzer in der Fähigkeit zu beschneiden, Tasks anzulegen. Dazu einfach die ACL auf c:\windows\System32\Tasks ändern (Schreibrechte für "authenticated users" entfernen ) -> schon läuft der Exploit nicht mehr. Die ACL könnte ich per GPO verteilen.

Frage: Welche Nebenwirkungen könnte dies haben?
->Meiner Ansicht nach keine, es seit denn, Windows erstellt aus irgendeinem Grund Tasks als User (Impersonation) - aber ich denke nicht, dass dies vorkommt.

Content-ID: 384833

Url: https://administrator.de/forum/sandbox-escaper-exploit-abfedern-384833.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

Bitboy
Bitboy 29.08.2018 um 17:25:58 Uhr
Goto Top
Wenn man über ein theoretisches könnte spricht, dann kommen alle Programme in Frage die zu Ihrer Funktion Tasks anlegen. Das könnte zum Beispiel sein wenn die Autoren der 3rd Party SW keinen eigenen Scheduler bauen wollen und stattdessen den integrierten verwenden.
Wirklich bekannt ist mir allerdings keines.
SeaStorm
SeaStorm 29.08.2018 um 17:35:57 Uhr
Goto Top
Chrome, flash uvm

Allerdings nur bei der Installation interessant
Lochkartenstanzer
Lochkartenstanzer 29.08.2018 um 17:46:51 Uhr
Goto Top
Zitat von @SeaStorm:

Chrome, flash uvm

Allerdings nur bei der Installation interessant

Was aber der normale User nicht tun dürfen sollte. face-smile

lks
BassFishFox
BassFishFox 29.08.2018 um 19:45:28 Uhr
Goto Top
Halloele,

Diese kruden OneDrive Standalone Update Tasks rennen im Benutzermodus. Stoert nicht, wenn Du kein OneDrive hast.
Dann waren da noch Task fuer Adobe-Programme die partout als Benutzer laufen wollen. Wir haben da den Adobe GC Client, der ist ein Teil vom Adobe Software Integrity Service und bei uns wohl durch Adobe Acrobat auf ein paar Kisten gekommen.

Die Tasks unter dem Windows-Verzeichnis des Task Schedulers rennen wohl alle als "System" oder "Interaktive", manche als "Network Service".

BFF
DerWoWusste
DerWoWusste 29.08.2018 um 23:32:41 Uhr
Goto Top
Moin an alle.

Es geht ja nicht um das bewusste Neuerstellen von Tasks. Das macht hier niemand. Es geht um das unbewusste und ob jemand außerhalb von Setups (die eh vom Admin ausgeführt werden, der weiterhin rechte hat, Tasks zu erstellen), die Tasks erstellen, weitere Wege sieht, wie Tasks als Nutzer erstellt warden könnten - ich sehe keine.

Es geht ja gar nicht um das Ausführen der Tasks, das geht nach der Modifikation weiterhin problemlos - sondern nur um das Erstellen.
emeriks
emeriks 04.09.2018 um 08:57:02 Uhr
Goto Top
Hi,
ich glaube nicht, dass das schwerwiegende Auswirkungen haben wird, solange "Administratoren" und "SYSTEM" da noch drin stehen. Was soll da auch passieren, außer dass Dir beim Setup irgendeiner speziellen Software dieser sagt: "geht nicht"?

E.