PSEXEC-Dienst erlaubt, Systeme zu übernehmen
DerWoWusste (Level 5) - Jetzt verbinden
12.01.2021, aktualisiert 13.01.2021, 979 Aufrufe, 6 Kommentare, 2 Danke
https://blog.0patch.com/2021/01/local-privilege-escalation-0day-in.html
PSEXEC-Verwundbarkeit!
Bitte beachten Sie, dass Sie sich vielleicht nicht bewusst sind, dass Sie es verwenden, da es unsichtbar in einige Software-Produkte integriert ist, die mit Remote-Systemen interagieren.
0patch hat einen Patch ausgegeben, Microsoft (noch) nicht. Patch nur für psexec v2.2, vorige bleiben verwundbar!
Edit: Wie @kannich schrieb: mittlerweile wird eine aktuellere Version von Microsoft angeboten. Leider behebt dass nicht das Problem, falls psexec in andere Produkte in älterer Version eingeflochten ist. https://docs.microsoft.com/de-de/sysinternals/downloads/psexec
PSEXEC-Verwundbarkeit!
Bitte beachten Sie, dass Sie sich vielleicht nicht bewusst sind, dass Sie es verwenden, da es unsichtbar in einige Software-Produkte integriert ist, die mit Remote-Systemen interagieren.
0patch hat einen Patch ausgegeben, Microsoft (noch) nicht. Patch nur für psexec v2.2, vorige bleiben verwundbar!
Edit: Wie @kannich schrieb: mittlerweile wird eine aktuellere Version von Microsoft angeboten. Leider behebt dass nicht das Problem, falls psexec in andere Produkte in älterer Version eingeflochten ist. https://docs.microsoft.com/de-de/sysinternals/downloads/psexec
6 Kommentare
- LÖSUNG lcer00 schreibt am 12.01.2021 um 13:52:42 Uhr
- LÖSUNG DerWoWusste schreibt am 12.01.2021 um 13:54:06 Uhr
- LÖSUNG lcer00 schreibt am 12.01.2021 um 14:08:36 Uhr
- LÖSUNG DerWoWusste schreibt am 12.01.2021 um 14:10:55 Uhr
- LÖSUNG kannich schreibt am 12.01.2021 um 14:19:58 Uhr
- LÖSUNG DerWoWusste schreibt am 15.01.2021 um 08:58:36 Uhr
- LÖSUNG kannich schreibt am 12.01.2021 um 14:19:58 Uhr
- LÖSUNG DerWoWusste schreibt am 12.01.2021 um 14:10:55 Uhr
- LÖSUNG lcer00 schreibt am 12.01.2021 um 14:08:36 Uhr
- LÖSUNG DerWoWusste schreibt am 12.01.2021 um 13:54:06 Uhr
LÖSUNG 12.01.2021 um 13:52 Uhr
LÖSUNG 12.01.2021 um 13:54 Uhr
LÖSUNG 12.01.2021 um 14:08 Uhr
Zitat von DerWoWusste:
Hi.
Nicht ganz: der Angreifer muss darauf warten, dass sein System mit psexec von remote bearbeitet wird, dann kann er sein lokales System (auf dem er nicht Admin ist) fortan kontrollieren.
Das heiß dann, man muss sich um alle potentiellen Zielsysteme Gedanken machen? Hi.
Nicht ganz: der Angreifer muss darauf warten, dass sein System mit psexec von remote bearbeitet wird, dann kann er sein lokales System (auf dem er nicht Admin ist) fortan kontrollieren.
Inside PsExec from https://www.itprotoday.com/compute-engines/psexec
PsExec starts an executable on a remote system and controls the input and output streams of the executable's process so that you can interact with the executable from the local system. PsExec does so by extracting from its executable image an embedded Windows service named Psexesvc and copying it to the Admin$ share of the remote system. PsExec then uses the Windows Service Control Manager API, which has a remote interface, to start the Psexesvc service on the remote system.
The Psexesvc service creates a named pipe, psexecsvc, to which PsExec connects and sends commands that tell the service on the remote system which executable to launch and which options you've specified. If you specify the -d (don't wait) switch, the service exits after starting the executable; otherwise, the service waits for the executable to terminate, then sends the exit code back to PsExec for it to print on the local console.
PsExec starts an executable on a remote system and controls the input and output streams of the executable's process so that you can interact with the executable from the local system. PsExec does so by extracting from its executable image an embedded Windows service named Psexesvc and copying it to the Admin$ share of the remote system. PsExec then uses the Windows Service Control Manager API, which has a remote interface, to start the Psexesvc service on the remote system.
The Psexesvc service creates a named pipe, psexecsvc, to which PsExec connects and sends commands that tell the service on the remote system which executable to launch and which options you've specified. If you specify the -d (don't wait) switch, the service exits after starting the executable; otherwise, the service waits for the executable to terminate, then sends the exit code back to PsExec for it to print on the local console.
Dann sind Gegenmaßnahmen ja eigentlich gar nicht möglich, es sei denn der liebe Virenscanner erkennt das ungefixte PSExec.
Grüße
lcer
LÖSUNG 12.01.2021 um 14:10 Uhr
Das heiß dann, man muss sich um alle potentiellen Zielsysteme Gedanken machen?
Ja! Und das ist hässlich, da wie gesagt viele Systeme unter der Haube unsichtbar psexec verwenden für Remoteaufgaben.Dann sind Gegenmaßnahmen ja eigentlich gar nicht möglich, es sei denn der liebe Virenscanner erkennt das ungefixte PSExec.
Das beste wird wohl sein, diesen Patch zu verteilen und Microsoft zu monitoren, was sie dazu vorschlagen.LÖSUNG 12.01.2021 um 14:19 Uhr
Hallo Zusammen,
gestern wurde ein Update der "Sysinternal Suite" vorgenommen (https://docs.microsoft.com/de-de/sysinternals/downloads/sysinternals-sui ...) in der u.a. auch psexec aktualisiert wurde.
psexec: https://docs.microsoft.com/de-de/sysinternals/downloads/psexec
Grüße kannich
gestern wurde ein Update der "Sysinternal Suite" vorgenommen (https://docs.microsoft.com/de-de/sysinternals/downloads/sysinternals-sui ...) in der u.a. auch psexec aktualisiert wurde.
psexec: https://docs.microsoft.com/de-de/sysinternals/downloads/psexec
Grüße kannich
LÖSUNG 15.01.2021 um 08:58 Uhr