Sandbox Escaper Exploit abfedern
Moin.
Es geht in den IT-Security News ja gerade um, dass ein Exploit besteht (gefunden von SandboxEscaper), der Usern erlaubt, sich zu Admins zu befördern. Das habe ich ausgetestet und es geht erschreckend einfach, weshalb ich nicht bis zum nächsten Microsoft Patchday warten möchte, welcher das wieder gerade zieht.
Meine Idee ist, die Nutzer in der Fähigkeit zu beschneiden, Tasks anzulegen. Dazu einfach die ACL auf c:\windows\System32\Tasks ändern (Schreibrechte für "authenticated users" entfernen ) -> schon läuft der Exploit nicht mehr. Die ACL könnte ich per GPO verteilen.
Frage: Welche Nebenwirkungen könnte dies haben?
->Meiner Ansicht nach keine, es seit denn, Windows erstellt aus irgendeinem Grund Tasks als User (Impersonation) - aber ich denke nicht, dass dies vorkommt.
Es geht in den IT-Security News ja gerade um, dass ein Exploit besteht (gefunden von SandboxEscaper), der Usern erlaubt, sich zu Admins zu befördern. Das habe ich ausgetestet und es geht erschreckend einfach, weshalb ich nicht bis zum nächsten Microsoft Patchday warten möchte, welcher das wieder gerade zieht.
Meine Idee ist, die Nutzer in der Fähigkeit zu beschneiden, Tasks anzulegen. Dazu einfach die ACL auf c:\windows\System32\Tasks ändern (Schreibrechte für "authenticated users" entfernen ) -> schon läuft der Exploit nicht mehr. Die ACL könnte ich per GPO verteilen.
Frage: Welche Nebenwirkungen könnte dies haben?
->Meiner Ansicht nach keine, es seit denn, Windows erstellt aus irgendeinem Grund Tasks als User (Impersonation) - aber ich denke nicht, dass dies vorkommt.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384833
Url: https://administrator.de/contentid/384833
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
6 Kommentare
Neuester Kommentar
Wenn man über ein theoretisches könnte spricht, dann kommen alle Programme in Frage die zu Ihrer Funktion Tasks anlegen. Das könnte zum Beispiel sein wenn die Autoren der 3rd Party SW keinen eigenen Scheduler bauen wollen und stattdessen den integrierten verwenden.
Wirklich bekannt ist mir allerdings keines.
Wirklich bekannt ist mir allerdings keines.
Was aber der normale User nicht tun dürfen sollte.
lks
Halloele,
Diese kruden OneDrive Standalone Update Tasks rennen im Benutzermodus. Stoert nicht, wenn Du kein OneDrive hast.
Dann waren da noch Task fuer Adobe-Programme die partout als Benutzer laufen wollen. Wir haben da den Adobe GC Client, der ist ein Teil vom Adobe Software Integrity Service und bei uns wohl durch Adobe Acrobat auf ein paar Kisten gekommen.
Die Tasks unter dem Windows-Verzeichnis des Task Schedulers rennen wohl alle als "System" oder "Interaktive", manche als "Network Service".
BFF
Diese kruden OneDrive Standalone Update Tasks rennen im Benutzermodus. Stoert nicht, wenn Du kein OneDrive hast.
Dann waren da noch Task fuer Adobe-Programme die partout als Benutzer laufen wollen. Wir haben da den Adobe GC Client, der ist ein Teil vom Adobe Software Integrity Service und bei uns wohl durch Adobe Acrobat auf ein paar Kisten gekommen.
Die Tasks unter dem Windows-Verzeichnis des Task Schedulers rennen wohl alle als "System" oder "Interaktive", manche als "Network Service".
BFF