Sandbox Escaper Exploit abfedern

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

29.08.2018, aktualisiert 16:39 Uhr, 1899 Aufrufe, 6 Kommentare

Moin.

Es geht in den IT-Security News ja gerade um, dass ein Exploit besteht (gefunden von SandboxEscaper), der Usern erlaubt, sich zu Admins zu befördern. Das habe ich ausgetestet und es geht erschreckend einfach, weshalb ich nicht bis zum nächsten Microsoft Patchday warten möchte, welcher das wieder gerade zieht.

Meine Idee ist, die Nutzer in der Fähigkeit zu beschneiden, Tasks anzulegen. Dazu einfach die ACL auf c:\windows\System32\Tasks ändern (Schreibrechte für "authenticated users" entfernen ) -> schon läuft der Exploit nicht mehr. Die ACL könnte ich per GPO verteilen.

Frage: Welche Nebenwirkungen könnte dies haben?
->Meiner Ansicht nach keine, es seit denn, Windows erstellt aus irgendeinem Grund Tasks als User (Impersonation) - aber ich denke nicht, dass dies vorkommt.
Mitglied: Bitboy
29.08.2018 um 17:25 Uhr
Wenn man über ein theoretisches könnte spricht, dann kommen alle Programme in Frage die zu Ihrer Funktion Tasks anlegen. Das könnte zum Beispiel sein wenn die Autoren der 3rd Party SW keinen eigenen Scheduler bauen wollen und stattdessen den integrierten verwenden.
Wirklich bekannt ist mir allerdings keines.
Bitte warten ..
Mitglied: SeaStorm
29.08.2018 um 17:35 Uhr
Chrome, flash uvm

Allerdings nur bei der Installation interessant
Bitte warten ..
Mitglied: Lochkartenstanzer
29.08.2018 um 17:46 Uhr
Zitat von @SeaStorm:

Chrome, flash uvm

Allerdings nur bei der Installation interessant

Was aber der normale User nicht tun dürfen sollte. :-) face-smile

lks
Bitte warten ..
Mitglied: BassFishFox
29.08.2018 um 19:45 Uhr
Halloele,

Diese kruden OneDrive Standalone Update Tasks rennen im Benutzermodus. Stoert nicht, wenn Du kein OneDrive hast.
Dann waren da noch Task fuer Adobe-Programme die partout als Benutzer laufen wollen. Wir haben da den Adobe GC Client, der ist ein Teil vom Adobe Software Integrity Service und bei uns wohl durch Adobe Acrobat auf ein paar Kisten gekommen.

Die Tasks unter dem Windows-Verzeichnis des Task Schedulers rennen wohl alle als "System" oder "Interaktive", manche als "Network Service".

BFF
Bitte warten ..
Mitglied: DerWoWusste
29.08.2018 um 23:32 Uhr
Moin an alle.

Es geht ja nicht um das bewusste Neuerstellen von Tasks. Das macht hier niemand. Es geht um das unbewusste und ob jemand außerhalb von Setups (die eh vom Admin ausgeführt werden, der weiterhin rechte hat, Tasks zu erstellen), die Tasks erstellen, weitere Wege sieht, wie Tasks als Nutzer erstellt warden könnten - ich sehe keine.

Es geht ja gar nicht um das Ausführen der Tasks, das geht nach der Modifikation weiterhin problemlos - sondern nur um das Erstellen.
Bitte warten ..
Mitglied: emeriks
04.09.2018 um 08:57 Uhr
Hi,
ich glaube nicht, dass das schwerwiegende Auswirkungen haben wird, solange "Administratoren" und "SYSTEM" da noch drin stehen. Was soll da auch passieren, außer dass Dir beim Setup irgendeiner speziellen Software dieser sagt: "geht nicht"?

E.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Server fährt um 22:04 einfach runter
achim22Vor 21 StundenFrageWindows Server17 Kommentare

Hi, ich habe seit drei Tagen das Problem das sich das Blech einfach runter fährt, ohne jeglichen Grund. Dachte erst es liegt an den ...

Off Topic
Probearbeit als Systemadministrator
xsheynVor 23 StundenAllgemeinOff Topic10 Kommentare

Hallo zusammen, aktuell suche ich eine neue Stelle und wurde nun für 2 Tage zum Probearbeiten eingeladen. Die Stelle wäre als IT-Systemadministrator im Service ...

Windows 7
Windows 7 fast alle Programme melden zeitweise "keine Rückmeldung"
GerdlangVor 12 StundenFrageWindows 723 Kommentare

Im Oktober 2020 wurde mein Rechner von einem Virus befallen. Habe ihn dann zur Softwarereparatur in eine renomierte IT-Werkstatt gegeben. Danach war alles OK. ...

Netzwerkgrundlagen
Kleine Verständnisfrage VLAN
gelöst cptkrabbeVor 1 TagFrageNetzwerkgrundlagen6 Kommentare

Hallo an alle. Ich habe folgende Verständnisfrage: Vier Switche, Netzwerk, sagen wir mal 10.10.1.0/24, soll an Switch 4 und 1 anliegen. Anderes Netzwerk , ...

Windows Server
Domänencontroller - LDAPS via TLS1.2
gelöst Philipp711Vor 1 TagFrageWindows Server8 Kommentare

Hallo Leute, ich habe ein kleines Verbindungsproblem zwischen einer Java-Anwendung (java11) und unserem Domänencontroller. Ich erhalte folgenden Fehler: Per Openssl habe ich mal die ...

Notebook & Zubehör
Notebook zurücksetzen "ohne" Passwort abfrage
gelöst ZeppelinVor 23 StundenFrageNotebook & Zubehör11 Kommentare

Hallo zusammen, ich habe ein Lenovo ThinkPad und möchte dieses so einrichten, dass es nicht möglich ist dieses ohne weiteres Zurückzusetzten. Ich habe hierzu ...

Hardware
Problem bei gleichzeitiger Nutzung Bluetooth Headset Laptop u. Smartphone
cramtroniVor 1 TagFrageHardware7 Kommentare

Guten Tag zusammen, ich habe ein Problem und zwar nutze ich ein Bluetooth Headset, das gleichzeitig mit meinem Laptop und meinem Smartphone verbunden ist. ...

Outlook & Mail
Outlook 2016 gelber Briefumschlag in der Taskleiste
DavidHergVor 1 TagFrageOutlook & Mail4 Kommentare

Guten Abend, ich nutze Outlook 2016 64-bit auf WIndows 10 20H2. ich habe mehrere Ordner mit Unterordnern, wo E-Mails abgelegt werden durch Regeln. Gibt ...