derwowusste

Schwache Nutzer können userbezogene GPOs umgehen

Wie bei Borncity ausführlich nachzulesen, haben verschiedene Sicherheitsprofis zum Teil schon vor 5 Jahren festgestellt, dass Restriktionen, die Admins mittels User-GPOs setzen, von den Nutzern umgangen werden können. Damals ging die Meldung an mir vorbei, nun kommt die Sache erneut ins Gespräch.

Da Windows einen Dienst nutzt, um ggf. erwünschte mandatory user profiles zu laden und dieser Dienst Systemrechte besitzt, muss der Nutzer dazu lediglich einen Weg finden, eine ntuser.man zu erstellen und im eigenen Profil abzulegen.

Das ist nicht sonderlich schwierig, so dass Admins, die sich auf die GPOs verlassen, sich besser Stefan Kanthaks Befehle (sucht im obigen Link nach cacls.exe) zur Abhilfe ansehen sollten, die diesen Weg verbauen. Da diese ntuser.man natürlich auch Autostarteinträge setzen könnte, welche Ihrerseits Code nachladen, kann man damit aus Sicht eines Dritten sogar recht einfach böse Absichten verstecken und ein Umsetzen der Abhilfe ist ratsam!

Microsoft jedenfalls sieht darin kein größeres Problem und es sieht nicht nach einem Fix aus.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673167

Url: https://administrator.de/info/windows-sicherheitsluecke-gpo-umgehung-673167.html

Ausgedruckt am: 05.06.2025 um 11:06 Uhr

radiogugu
radiogugu 03.06.2025 um 16:44:23 Uhr
Goto Top
Mahlzeit.

Es ist wirklich erstaunlich, dass diese und andere Situationen einfach so hingenommen werden und es schlaue, teilweise nicht zur Software-Firma gehörende, Leute geben muss, welche sich Lösungen für solche Probleme ausdenken.

Diese Dinge sollte die, zugegeben noch recht junge, damit unerfahrene und auch eher kleinere, Softwareschmiede selbst in den Griff bekommen.

Einfach generisch zu veröffentlichen, dass kein Problem erkennbar ist und ein Update zur Behebung eher mit geringerer Priorität angegangen wird, ist schon ein sehr deutlicher Schlag ins Gesicht der zahlenden Kunden.

Die Antwort liest sich so, dass es eher nicht ganz durchgedrungen ist, was die eigentliche Misere ist.

Mir fehlt bei der ganzen Geschichte der dezente Hinweis: "In der Cloud passiert das nicht, weil die einfach besser ist." face-cool

Gruß
Marc
BiberMan
BiberMan 03.06.2025 aktualisiert um 16:58:31 Uhr
Goto Top
Microsoft jedenfalls sieht darin kein größeres Problem
Da passt die neue Ausrichtungs-Strategie ja wie die Faust aufs Auge ....
Prioritizing security above all else
🙈😂

Bis zum nächsten Blackout ... 🥳🖖

Alter was saufen die da in Redmond?! Muss auf jeden Fall hochprozentig sein und Vergesslichkeit fördern.
ukulele-7
ukulele-7 03.06.2025 aktualisiert um 17:04:46 Uhr
Goto Top
Ohne mich jetzt mit den Möglichkeiten von Intune und Microsoft 365 auszukennen: Ist es nicht so, das GPOs dort nicht zum Einsatz kommen? Ich würde annehmen, das Microsoft an dem System GPO nicht mehr viel verändern möchte und es lieber durch ein, entsprechend auf M365 und Azure ausgerichtetes, System ersetzen möchte.

Vielleicht ist meine Wahrnehmung aber auch falsch face-smile
ServerGhost
ServerGhost 03.06.2025 um 20:57:44 Uhr
Goto Top
Das fühlt sich an wie viel Aufregung um nichts.

Gut, ein Benutzer kann Benutzerrichtlinien aushebeln. Aber eben keine Computerrichtlinien.

Benutzerrichtlinien sind also nicht dazu ausgelegt, einen PC abzusichern, sondern lediglich dazu, dem User das Leben zu erleichtern. Ich sehe auf den ersten Blick kein Fehlverhalten von MS.

Gibt es etwas, das man nur mit Benutzerrichtlinien machen kann und die Aufregung rechtfertigt?
DerMaddin
DerMaddin 04.06.2025 um 09:00:58 Uhr
Goto Top
Ich sehe da keine Schwachstelle. Auch wenn ein versierter User den kompletten HKCU verändert, in AD-Umgebungen wird oft die Policy im Minutentakt angewendet. Habe mir zum Anlass unsere GPO angeschaut und in dem User-Baum sind nur Einstellungen für Drucker, Zuweisung von Netzlaufwerken, Startseiten in Browsern, Einstellungen für MS Office, Energieeinstellungen...

Im Grunde also nichts, was der User auch nicht selbst machen könnte.

Wo ist also das Risiko? Eine Ausweitung der Rechte ist darüber nicht möglich.
DerWoWusste
DerWoWusste 04.06.2025 um 09:22:42 Uhr
Goto Top
Im Userteil der Policy muss man nicht nur Windows-eigene GPOs haben. Sämtliche Einstellungen diverser Programme (Browser usw.) können da drin liegen und die enthalten nicht selten sicherheitsrelevante Einstellungen.

in AD-Umgebungen wird oft die Policy im Minutentakt angewendet.
Auch das ist umgehbar und hier beschrieben: https://medium.com/tenable-techblog/bypass-windows-10-user-group-policy- ... im Absatz "But Windows will Resync Group Policy Rules and Override these Changes…Right?"
DerMaddin
DerMaddin 04.06.2025 um 09:56:27 Uhr
Goto Top
nicht selten sicherheitsrelevante Einstellungen.

Welche? Mir sind keine bekannt. Bitte Beispiele nennen.
ukulele-7
ukulele-7 04.06.2025 um 10:16:35 Uhr
Goto Top
Proxy-Konfiguration fällt mir da mal spontan ein.

Ich verstehe das Argument. Aber das Richtlinien umgangen werden können, möchte man i.d.R. nicht.
DerMaddin
DerMaddin 04.06.2025 um 10:33:49 Uhr
Goto Top
Also Fakt ist, dass ein Benutzer, der 100% weiß was er da tut, in der Lage wäre, HKCU zu umgehen. Wow, toll!!! Und nun? Der Benutzer hat GPOs umgangen und evtl. damit sein Windows Profil kaputt gemacht. Ich konnte bei den bisherigen Artikeln nichts finden, dass den Benutzer weitere Rechte im OS geben kann bei Anwendung dieser "Schwachstelle".
DerWoWusste
DerWoWusste 04.06.2025 aktualisiert um 10:52:06 Uhr
Goto Top
Welche? Mir sind keine bekannt. Bitte Beispiele nennen.
Nimm alle Policies, die z.B. sowohl als Computer- als auch als Userprolicy setzbar sind. Admins könnten die Unterscheidung wollen, dass ein Nutzerkreis am selben PC/Terminalserver andere Einstellungen bekommt, als ein anderer und setzen deshalb Userpolicies ein und nicht eine Computerpolicy.

Ein Beispiel spontan: MS Office, Outlook, erzwingen, dass alle Nachrichten signiert und/oder verschlüsselt sind. Existiert diese Policy als Computerpolicy? Nein. Nimm die ADMX-Doku von https://www.microsoft.com/en-us/download/details.aspx?id=49030 (in den .exe enthalten als Excelsheet) und schau Dir an, was alles ausschließlich in HKCU\Policies ist und was du sicherheitsrelevant findest.

Ich konnte bei den bisherigen Artikeln nichts finden, dass den Benutzer weitere Rechte im OS geben kann bei Anwendung dieser "Schwachstelle"
Es muss nicht Rechteerweiterung sein, was die Sicherheit herabsetzt. Es kann ebenso das Umgehen von Restriktionen sein, von Geboten, wie mein Outlook-Beispiel zeigt.
Freak-On-Silicon
Freak-On-Silicon 04.06.2025 um 12:50:44 Uhr
Goto Top
Zitat von @DerMaddin:

Ich sehe da keine Schwachstelle. Auch wenn ein versierter User den kompletten HKCU verändert, in AD-Umgebungen wird oft die Policy im Minutentakt angewendet. Habe mir zum Anlass unsere GPO angeschaut und in dem User-Baum sind nur Einstellungen für Drucker, Zuweisung von Netzlaufwerken, Startseiten in Browsern, Einstellungen für MS Office, Energieeinstellungen...

Im Grunde also nichts, was der User auch nicht selbst machen könnte.

Wo ist also das Risiko? Eine Ausweitung der Rechte ist darüber nicht möglich.

https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...

In Minutentakt angewendet? Gute Idee?
DerMaddin
DerMaddin 04.06.2025 um 13:12:14 Uhr
Goto Top

Was spricht dagegen?
Freak-On-Silicon
Freak-On-Silicon 04.06.2025 um 13:16:40 Uhr
Goto Top
Zitat von @DerMaddin:


Was spricht dagegen?

Hast du dir den Link auf durchgelesen?
DerMaddin
DerMaddin 04.06.2025 um 13:55:37 Uhr
Goto Top
Ja und es ist seeeehr verallgemeinert.

Eine Belastung des Netzwerks möglich bei sehr großen Umgebungen mit vielen Clients und ziemlich großer GPO Anzahl. Das sind aber Strukturen mit tausenden von Clients wenn nicht sogar darüber hinaus.

Aus eigener Erfahrung kann ich sagen, dass es keine Belastung in einem überwiegend 100 Mbit-Netz gab, bei ~600 Clients.

Die aufgeführten Instabilitäten kann ich nicht nachvollziehen bzw. sind mir noch nie aufgefallen. Solange dies kein Problem für meine Infrastruktur darstellt, werde ich nichts verändern.
Freak-On-Silicon
Freak-On-Silicon 04.06.2025 aktualisiert um 14:18:27 Uhr
Goto Top
Um das gings mir gar nicht, sondern um diesen Absatz:

Der Übernahme Prozess löscht und fügt alles wieder neu hinzu. Die Integration erfolgt nicht additiv. Es werden nicht nur die 2, 3 Werte hinzugefügt, die fehlen oder einer gelöscht, Nein! Das Prozess wirft alles weg und übernimmt alles erneut. Achtung! Für einen kurzen Moment ist das System, Richtlinien frei!
DerMaddin
DerMaddin 04.06.2025 um 14:44:25 Uhr
Goto Top
Ja, das ist auch richtig so. Selektiv alle lokal gesetzten Werte mit den in der GPO zu prüfen und dann individuell zu ändert dauert wesentlich länger und ist komplexer in der Umsetzung.

Dieser "kurze Moment" kann Millisekunden oder sehr wenige Sekunden dauern. Ist ein potenzielles Risiko aber nicht bei einem Office-PC. Eher ein Thema für VDI, spezielle sichere Umgebungen, Kiosk-PCs etc. In solchen Bereichen sollte genauer geschaut werde welche und wie viele GPOs angewendet werden und weitere zusätzliche Schutzmaßnahmen wie AppLocker, Device Guard etc. verwendet werden.
Freak-On-Silicon
Freak-On-Silicon 04.06.2025 um 14:53:14 Uhr
Goto Top
Ja, ist mir bewusst.

Und ich würde es auch bei einem Office-PC als Risiko sehen, wenn da schon was drauf ist, was nur auf sowas wartet...

Ja, unter anderem Applocker ist da quasi Pflicht.
DerMaddin
DerMaddin 04.06.2025 um 15:10:02 Uhr
Goto Top
Zitat von @Freak-On-Silicon:

Und ich würde es auch bei einem Office-PC als Risiko sehen, wenn da schon was drauf ist, was nur auf sowas wartet...

Nimm irgendeine verwaltete "Schlangenöl-App" und passe die Richtlinien an, dies minimiert das Risiko enorm. Dazu noch die Anwender regelmäßig sensibilisieren auf mögliche Angriffs-Vektoren und schon haben wir nahezu 100% Endpunkt-Sicherheit.
DerWoWusste
DerWoWusste 04.06.2025 aktualisiert um 17:13:48 Uhr
Goto Top
Ja, unter anderem Applocker ist da quasi Pflicht.
Ach, und Applocker wäre nicht auch in genau so einem Moment "richtlinienfrei", wo die GPOs neu geschrieben werden? Die stehen für Applocker doch ebenfalls in der Registry (ja, HKLM, aber das ist hier unerheblich, da bei einem erzwungenen refresh ja beide Policyarten, User- und Computerpolicy, neu geschrieben werden).

Wisst Ihr was: das ist doch völlig Banane. Ich habe hoffentlich verdeutlicht, dass ein Überschreiben NICHT MÖGLICH ist, wenn der User es wünscht (siehe tenable-link), somit ist die Diskussion darüber doch besser abzubrechen.
Zielführender wäre es doch, anzuerkennen, dass (wie belegt) in HKCU\software\policies sicherheitsrelevante Einstellungen sitzen können und man ggf. tatsächlich tätig werden muss, diese Hintertür dicht zu machen (siehe Befehle von S. Kanthak). Wer dort keine Sicherheitseinstellungen drin hat, der kann das auch gerne bleiben lassen.

Edit: Wer weiterhin nicht überzeugt ist, den verweise ich nochmals ans Ende des tenable Artikels mit weiteren Einsichten darüber, was damit abseits der verhinderten Gruppenrichtlinienumsetzung noch möglich ist:

  • Single File Code Execution — Some exploits may be able to drop a file somewhere on the Windows filesystem as non-admin. If the exploit dropped a “%USERPROFILE\ntuser.man”, with an autostart registry key to execute a file off of a remote SMB share, then the exploit now gained reliable code execution simply by dropping one non-executable file.
  • Antivirus/EDR Bypass — Some Antivirus/EDR products may only monitor registry modifications by intercepting Registry APIs or Kernel callbacks. In the case where you make a registry change by replacing the entire hive, this could circumvent monitoring and detection.
  • Denial of Service — By dropping an empty ntuser.man file in %userprofile%, ProfSvc will fail to load registry and thus prevent the user from logging in, requiring Safe Mode boot or backup Admin account to remove offending ntuser.man file.
Es gibt Schlimmeres, aber das ist dennoch nichts, was ich einfach so abtun würde.
Freak-On-Silicon
Freak-On-Silicon 05.06.2025 um 08:38:54 Uhr
Goto Top
Stimmt, dann ist der AppLocker auch dahin...
Bin bei dir.