PSEXEC-Dienst erlaubt, Systeme zu übernehmen

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

12.01.2021, aktualisiert 13.01.2021, 883 Aufrufe, 6 Kommentare, 2 Danke

https://blog.0patch.com/2021/01/local-privilege-escalation-0day-in.html

PSEXEC-Verwundbarkeit!

Bitte beachten Sie, dass Sie sich vielleicht nicht bewusst sind, dass Sie es verwenden, da es unsichtbar in einige Software-Produkte integriert ist, die mit Remote-Systemen interagieren.

0patch hat einen Patch ausgegeben, Microsoft (noch) nicht. Patch nur für psexec v2.2, vorige bleiben verwundbar!
Edit: Wie @kannich schrieb: mittlerweile wird eine aktuellere Version von Microsoft angeboten. Leider behebt dass nicht das Problem, falls psexec in andere Produkte in älterer Version eingeflochten ist. https://docs.microsoft.com/de-de/sysinternals/downloads/psexec
Mitglied: lcer00
12.01.2021 um 13:52 Uhr
Hallo,

verstehe ich das richtig, verwundbar ist das System, auf dem PSEXEC ausgeführt wird, nicht das Zielsystem?

Grüße

lcer
Bitte warten ..
Mitglied: DerWoWusste
12.01.2021 um 13:54 Uhr
Hi.

Nicht ganz: der Angreifer muss darauf warten, dass sein System mit psexec von remote bearbeitet wird, dann kann er sein lokales System (auf dem er nicht Admin ist) fortan kontrollieren.
Bitte warten ..
Mitglied: lcer00
12.01.2021 um 14:08 Uhr
Zitat von DerWoWusste:

Hi.

Nicht ganz: der Angreifer muss darauf warten, dass sein System mit psexec von remote bearbeitet wird, dann kann er sein lokales System (auf dem er nicht Admin ist) fortan kontrollieren.
Das heiß dann, man muss sich um alle potentiellen Zielsysteme Gedanken machen?

Inside PsExec from https://www.itprotoday.com/compute-engines/psexec
PsExec starts an executable on a remote system and controls the input and output streams of the executable's process so that you can interact with the executable from the local system. PsExec does so by extracting from its executable image an embedded Windows service named Psexesvc and copying it to the Admin$ share of the remote system. PsExec then uses the Windows Service Control Manager API, which has a remote interface, to start the Psexesvc service on the remote system.

The Psexesvc service creates a named pipe, psexecsvc, to which PsExec connects and sends commands that tell the service on the remote system which executable to launch and which options you've specified. If you specify the -d (don't wait) switch, the service exits after starting the executable; otherwise, the service waits for the executable to terminate, then sends the exit code back to PsExec for it to print on the local console.

Dann sind Gegenmaßnahmen ja eigentlich gar nicht möglich, es sei denn der liebe Virenscanner erkennt das ungefixte PSExec.

Grüße

lcer
Bitte warten ..
Mitglied: DerWoWusste
12.01.2021 um 14:10 Uhr
Das heiß dann, man muss sich um alle potentiellen Zielsysteme Gedanken machen?
Ja! Und das ist hässlich, da wie gesagt viele Systeme unter der Haube unsichtbar psexec verwenden für Remoteaufgaben.
Dann sind Gegenmaßnahmen ja eigentlich gar nicht möglich, es sei denn der liebe Virenscanner erkennt das ungefixte PSExec.
Das beste wird wohl sein, diesen Patch zu verteilen und Microsoft zu monitoren, was sie dazu vorschlagen.
Bitte warten ..
Mitglied: kannich
12.01.2021 um 14:19 Uhr
Hallo Zusammen,

gestern wurde ein Update der "Sysinternal Suite" vorgenommen (https://docs.microsoft.com/de-de/sysinternals/downloads/sysinternals-sui ...) in der u.a. auch psexec aktualisiert wurde.
psexec: https://docs.microsoft.com/de-de/sysinternals/downloads/psexec

Grüße kannich
Bitte warten ..
Mitglied: DerWoWusste
15.01.2021 um 08:58 Uhr
Noch ein Hinweis dazu:

Wenn man das neue psexec nutzen will, um auf Workstations raufzukommen, die schonmal mit der alten Version benutzt wurden, wird das nicht gelingen!

Man muss auf dem Zielrechner folgenden Befehl absetzen (als Admin), um das zu bereinigen:
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 15 StundenAllgemeinWünsch Dir was22 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 1010 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 17 StundenFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste13 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Festplatten, SSD, Raid
SATA Treiber für HP
ben1300Vor 10 StundenFrageFestplatten, SSD, Raid15 Kommentare

Hallo zusammen, ich habe einen PC von HP (Seriennummer: CZC3475D5D) Wollte hier Windows 7 Prof. installieren - es fehlt der SATA Treiber Leider kann ...