Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sandbox Escaper Exploit abfedern

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

29.08.2018, aktualisiert 16:39 Uhr, 1137 Aufrufe, 6 Kommentare

Moin.

Es geht in den IT-Security News ja gerade um, dass ein Exploit besteht (gefunden von SandboxEscaper), der Usern erlaubt, sich zu Admins zu befördern. Das habe ich ausgetestet und es geht erschreckend einfach, weshalb ich nicht bis zum nächsten Microsoft Patchday warten möchte, welcher das wieder gerade zieht.

Meine Idee ist, die Nutzer in der Fähigkeit zu beschneiden, Tasks anzulegen. Dazu einfach die ACL auf c:\windows\System32\Tasks ändern (Schreibrechte für "authenticated users" entfernen ) -> schon läuft der Exploit nicht mehr. Die ACL könnte ich per GPO verteilen.

Frage: Welche Nebenwirkungen könnte dies haben?
->Meiner Ansicht nach keine, es seit denn, Windows erstellt aus irgendeinem Grund Tasks als User (Impersonation) - aber ich denke nicht, dass dies vorkommt.
Mitglied: Bitboy
29.08.2018 um 17:25 Uhr
Wenn man über ein theoretisches könnte spricht, dann kommen alle Programme in Frage die zu Ihrer Funktion Tasks anlegen. Das könnte zum Beispiel sein wenn die Autoren der 3rd Party SW keinen eigenen Scheduler bauen wollen und stattdessen den integrierten verwenden.
Wirklich bekannt ist mir allerdings keines.
Bitte warten ..
Mitglied: SeaStorm
29.08.2018 um 17:35 Uhr
Chrome, flash uvm

Allerdings nur bei der Installation interessant
Bitte warten ..
Mitglied: Lochkartenstanzer
29.08.2018 um 17:46 Uhr
Zitat von SeaStorm:

Chrome, flash uvm

Allerdings nur bei der Installation interessant

Was aber der normale User nicht tun dürfen sollte.

lks
Bitte warten ..
Mitglied: BassFishFox
29.08.2018 um 19:45 Uhr
Halloele,

Diese kruden OneDrive Standalone Update Tasks rennen im Benutzermodus. Stoert nicht, wenn Du kein OneDrive hast.
Dann waren da noch Task fuer Adobe-Programme die partout als Benutzer laufen wollen. Wir haben da den Adobe GC Client, der ist ein Teil vom Adobe Software Integrity Service und bei uns wohl durch Adobe Acrobat auf ein paar Kisten gekommen.

Die Tasks unter dem Windows-Verzeichnis des Task Schedulers rennen wohl alle als "System" oder "Interaktive", manche als "Network Service".

BFF
Bitte warten ..
Mitglied: DerWoWusste
29.08.2018 um 23:32 Uhr
Moin an alle.

Es geht ja nicht um das bewusste Neuerstellen von Tasks. Das macht hier niemand. Es geht um das unbewusste und ob jemand außerhalb von Setups (die eh vom Admin ausgeführt werden, der weiterhin rechte hat, Tasks zu erstellen), die Tasks erstellen, weitere Wege sieht, wie Tasks als Nutzer erstellt warden könnten - ich sehe keine.

Es geht ja gar nicht um das Ausführen der Tasks, das geht nach der Modifikation weiterhin problemlos - sondern nur um das Erstellen.
Bitte warten ..
Mitglied: emeriks
04.09.2018 um 08:57 Uhr
Hi,
ich glaube nicht, dass das schwerwiegende Auswirkungen haben wird, solange "Administratoren" und "SYSTEM" da noch drin stehen. Was soll da auch passieren, außer dass Dir beim Setup irgendeiner speziellen Software dieser sagt: "geht nicht"?

E.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Neues Feature: "Sandbox"
gelöst Frage von PedantWindows 103 Kommentare

Hallo liebe Kollegen, das Folgende ist nicht wirklich eine dringende Frage, eher nur Neugier. Das Update auf 1903 bringt ...

Windows 10

Windows-Sandbox: Kein Hypervisor gefunden

gelöst Frage von honeybeeWindows 104 Kommentare

Hallo, wollte das Windows-Feature "Sandbox" starten und bekam diese Fehlermeldung: Im BIOS ist bereits die Virtualisierungstechnologie aktiviert Ist das ...

Erkennung und -Abwehr

Verärgerter Forscher veröffentlicht Exploit für Virtualbox

Tipp von ashnodErkennung und -Abwehr1 Kommentar

Ohne Kommentar: Verärgerter Forscher veröffentlicht Exploit für Virtualbox

Microsoft

Notfallpatch: Internet Explorer 0-Day Exploit

Information von SeaStormMicrosoft2 Kommentare

Heute Nacht hat MS einen Patch für eine Remote ausnutzbare Sicherheitslücke veröffentlicht, der den IE 9 bis 11 betrifft: ...

Neue Wissensbeiträge
Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 2 TagenSicherheit15 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Viren und Trojaner
Trend Micro WFBS 10 SP1 Patch 2185
Tipp von Abramelin vor 2 TagenViren und Trojaner3 Kommentare

Hi, Hab gerade gesehen das Patch 2185 für TM WFBS 10 SP1 erschienen ist! Werde mal Morgen den Patch ...

Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

Tipp von transocean vor 2 TagenViren und Trojaner7 Kommentare

Moin, lest selbst. Grüße Uwe

Sicherheit
Böser Bug in Domänenkennwortrichtlinie!
Information von DerWoWusste vor 3 TagenSicherheit2 Kommentare

Ich spiegele mal Borncity: In Kürze: Nutzt Ihr eine Domänen-Kennwortrichtlinie der herkömmlichen Art (keine PSO-Richtlinie)? Ja? Und plant Ihr, ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerkstruktur für Zuhause 1Anschluss 2 Netze
Frage von chrishaefNetzwerke26 Kommentare

Hallo liebes Forum, Ich hätte da mal eine Frage an die Profis. Bei uns liegt ein DSL Anschluss im ...

Batch & Shell
Eingabeaufforderung macht Pause bei Datensicherung mit Robocopy auf DVD
Frage von anmelderBatch & Shell23 Kommentare

Hallo, ich sichere einige Daten per Robocopy auf DVD-RAM. Wenn ich nicht am Rechner sitze macht der Befehl nach ...

Windows Server
Neuinstallation Windows Server 2016 - wie würdet Ihr vorgehen
Frage von mollyneoWindows Server21 Kommentare

Moin, ich habe gerade ein kleines Problem mit einer bestehenden Installation eines "Fachmanns" und möchte gern wissen, wie ihr ...

Server-Hardware
Server startet nach Debian Installation nicht mehr
Frage von RobertDServer-Hardware17 Kommentare

Hallo, ich habe heute zum ersten Mal auf meinen Server (selbst zusammengebaut) Linux installiert, ging auch alles ganz gut. ...