6
Sandbox Escaper Exploit abfedern
Moin.
Es geht in den IT-Security News ja gerade um, dass ein Exploit besteht (gefunden von SandboxEscaper), der Usern erlaubt, sich zu Admins zu befördern. Das habe ich ausgetestet und es geht erschreckend einfach, weshalb ich nicht bis zum nächsten Microsoft Patchday warten möchte, welcher das wieder gerade zieht.
Meine Idee ist, die Nutzer in der Fähigkeit zu beschneiden, Tasks anzulegen. Dazu einfach die ACL auf c:\windows\System32\Tasks ändern (Schreibrechte für "authenticated users" entfernen ) -> schon läuft der Exploit nicht mehr. Die ACL könnte ich per GPO verteilen.
Frage: Welche Nebenwirkungen könnte dies haben?
->Meiner Ansicht nach keine, es seit denn, Windows erstellt aus irgendeinem Grund Tasks als User (Impersonation) - aber ich denke nicht, dass dies vorkommt.
Es geht in den IT-Security News ja gerade um, dass ein Exploit besteht (gefunden von SandboxEscaper), der Usern erlaubt, sich zu Admins zu befördern. Das habe ich ausgetestet und es geht erschreckend einfach, weshalb ich nicht bis zum nächsten Microsoft Patchday warten möchte, welcher das wieder gerade zieht.
Meine Idee ist, die Nutzer in der Fähigkeit zu beschneiden, Tasks anzulegen. Dazu einfach die ACL auf c:\windows\System32\Tasks ändern (Schreibrechte für "authenticated users" entfernen ) -> schon läuft der Exploit nicht mehr. Die ACL könnte ich per GPO verteilen.
Frage: Welche Nebenwirkungen könnte dies haben?
->Meiner Ansicht nach keine, es seit denn, Windows erstellt aus irgendeinem Grund Tasks als User (Impersonation) - aber ich denke nicht, dass dies vorkommt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 384833
Url: https://administrator.de/contentid/384833
Printed on: April 19, 2024 at 20:04 o'clock
6 Comments
Latest comment
Wenn man über ein theoretisches könnte spricht, dann kommen alle Programme in Frage die zu Ihrer Funktion Tasks anlegen. Das könnte zum Beispiel sein wenn die Autoren der 3rd Party SW keinen eigenen Scheduler bauen wollen und stattdessen den integrierten verwenden.
Wirklich bekannt ist mir allerdings keines.
Wirklich bekannt ist mir allerdings keines.
Chrome, flash uvm
Allerdings nur bei der Installation interessant
Allerdings nur bei der Installation interessant
Was aber der normale User nicht tun dürfen sollte.
lks
Halloele,
Diese kruden OneDrive Standalone Update Tasks rennen im Benutzermodus. Stoert nicht, wenn Du kein OneDrive hast.
Dann waren da noch Task fuer Adobe-Programme die partout als Benutzer laufen wollen. Wir haben da den Adobe GC Client, der ist ein Teil vom Adobe Software Integrity Service und bei uns wohl durch Adobe Acrobat auf ein paar Kisten gekommen.
Die Tasks unter dem Windows-Verzeichnis des Task Schedulers rennen wohl alle als "System" oder "Interaktive", manche als "Network Service".
BFF
Diese kruden OneDrive Standalone Update Tasks rennen im Benutzermodus. Stoert nicht, wenn Du kein OneDrive hast.
Dann waren da noch Task fuer Adobe-Programme die partout als Benutzer laufen wollen. Wir haben da den Adobe GC Client, der ist ein Teil vom Adobe Software Integrity Service und bei uns wohl durch Adobe Acrobat auf ein paar Kisten gekommen.
Die Tasks unter dem Windows-Verzeichnis des Task Schedulers rennen wohl alle als "System" oder "Interaktive", manche als "Network Service".
BFF
Moin an alle.
Es geht ja nicht um das bewusste Neuerstellen von Tasks. Das macht hier niemand. Es geht um das unbewusste und ob jemand außerhalb von Setups (die eh vom Admin ausgeführt werden, der weiterhin rechte hat, Tasks zu erstellen), die Tasks erstellen, weitere Wege sieht, wie Tasks als Nutzer erstellt warden könnten - ich sehe keine.
Es geht ja gar nicht um das Ausführen der Tasks, das geht nach der Modifikation weiterhin problemlos - sondern nur um das Erstellen.
Es geht ja nicht um das bewusste Neuerstellen von Tasks. Das macht hier niemand. Es geht um das unbewusste und ob jemand außerhalb von Setups (die eh vom Admin ausgeführt werden, der weiterhin rechte hat, Tasks zu erstellen), die Tasks erstellen, weitere Wege sieht, wie Tasks als Nutzer erstellt warden könnten - ich sehe keine.
Es geht ja gar nicht um das Ausführen der Tasks, das geht nach der Modifikation weiterhin problemlos - sondern nur um das Erstellen.
Hi,
ich glaube nicht, dass das schwerwiegende Auswirkungen haben wird, solange "Administratoren" und "SYSTEM" da noch drin stehen. Was soll da auch passieren, außer dass Dir beim Setup irgendeiner speziellen Software dieser sagt: "geht nicht"?
E.
ich glaube nicht, dass das schwerwiegende Auswirkungen haben wird, solange "Administratoren" und "SYSTEM" da noch drin stehen. Was soll da auch passieren, außer dass Dir beim Setup irgendeiner speziellen Software dieser sagt: "geht nicht"?
E.
