PSEXEC-Dienst erlaubt, Systeme zu übernehmen

12.01.2021, aktualisiert 13.01.2021, 979 Aufrufe, 6 Kommentare, 2 Danke

https://blog.0patch.com/2021/01/local-privilege-escalation-0day-in.html

PSEXEC-Verwundbarkeit!

Bitte beachten Sie, dass Sie sich vielleicht nicht bewusst sind, dass Sie es verwenden, da es unsichtbar in einige Software-Produkte integriert ist, die mit Remote-Systemen interagieren.

0patch hat einen Patch ausgegeben, Microsoft (noch) nicht. Patch nur für psexec v2.2, vorige bleiben verwundbar!
Edit: Wie @kannich schrieb: mittlerweile wird eine aktuellere Version von Microsoft angeboten. Leider behebt dass nicht das Problem, falls psexec in andere Produkte in älterer Version eingeflochten ist. https://docs.microsoft.com/de-de/sysinternals/downloads/psexec

6 Kommentare

LÖSUNG lcer00 schreibt am 12.01.2021 um 13:52:42 Uhr
- LÖSUNG DerWoWusste schreibt am 12.01.2021 um 13:54:06 Uhr
  - LÖSUNG lcer00 schreibt am 12.01.2021 um 14:08:36 Uhr
    - LÖSUNG DerWoWusste schreibt am 12.01.2021 um 14:10:55 Uhr
      - LÖSUNG kannich schreibt am 12.01.2021 um 14:19:58 Uhr
        
        LÖSUNG DerWoWusste schreibt am 15.01.2021 um 08:58:36 Uhr

lcer00 (Level 2) - Jetzt verbinden

LÖSUNG 12.01.2021 um 13:52 Uhr

Hallo,

verstehe ich das richtig, verwundbar ist das System, auf dem PSEXEC ausgeführt wird, nicht das Zielsystem?

Grüße

lcer

DerWoWusste (Level 5) - Jetzt verbinden

LÖSUNG 12.01.2021 um 13:54 Uhr

Hi.

Nicht ganz: der Angreifer muss darauf warten, dass sein System mit psexec von remote bearbeitet wird, dann kann er sein lokales System (auf dem er nicht Admin ist) fortan kontrollieren.

lcer00 (Level 2) - Jetzt verbinden

LÖSUNG 12.01.2021 um 14:08 Uhr

Zitat von DerWoWusste:

Hi.

Nicht ganz: der Angreifer muss darauf warten, dass sein System mit psexec von remote bearbeitet wird, dann kann er sein lokales System (auf dem er nicht Admin ist) fortan kontrollieren.

Das heiß dann, man muss sich um alle potentiellen Zielsysteme Gedanken machen?

Inside PsExec from https://www.itprotoday.com/compute-engines/psexec
PsExec starts an executable on a remote system and controls the input and output streams of the executable's process so that you can interact with the executable from the local system. PsExec does so by extracting from its executable image an embedded Windows service named Psexesvc and copying it to the Admin$ share of the remote system. PsExec then uses the Windows Service Control Manager API, which has a remote interface, to start the Psexesvc service on the remote system.

The Psexesvc service creates a named pipe, psexecsvc, to which PsExec connects and sends commands that tell the service on the remote system which executable to launch and which options you've specified. If you specify the -d (don't wait) switch, the service exits after starting the executable; otherwise, the service waits for the executable to terminate, then sends the exit code back to PsExec for it to print on the local console.

Dann sind Gegenmaßnahmen ja eigentlich gar nicht möglich, es sei denn der liebe Virenscanner erkennt das ungefixte PSExec.

Grüße

lcer

DerWoWusste (Level 5) - Jetzt verbinden

LÖSUNG 12.01.2021 um 14:10 Uhr

Das heiß dann, man muss sich um alle potentiellen Zielsysteme Gedanken machen?

Ja! Und das ist hässlich, da wie gesagt viele Systeme unter der Haube unsichtbar psexec verwenden für Remoteaufgaben.

Dann sind Gegenmaßnahmen ja eigentlich gar nicht möglich, es sei denn der liebe Virenscanner erkennt das ungefixte PSExec.

Das beste wird wohl sein, diesen Patch zu verteilen und Microsoft zu monitoren, was sie dazu vorschlagen.

kannich (Level 1) - Jetzt verbinden

LÖSUNG 12.01.2021 um 14:19 Uhr

Hallo Zusammen,

gestern wurde ein Update der "Sysinternal Suite" vorgenommen (https://docs.microsoft.com/de-de/sysinternals/downloads/sysinternals-sui ...) in der u.a. auch psexec aktualisiert wurde.
psexec: https://docs.microsoft.com/de-de/sysinternals/downloads/psexec

Grüße kannich

DerWoWusste (Level 5) - Jetzt verbinden

LÖSUNG 15.01.2021 um 08:58 Uhr

Noch ein Hinweis dazu:

Wenn man das neue psexec nutzen will, um auf Workstations raufzukommen, die schonmal mit der alten Version benutzt wurden, wird das nicht gelingen!

Man muss auf dem Zielrechner folgenden Befehl absetzen (als Admin), um das zu bereinigen:

net stop PSEXESVC & sc delete PSEXESVC

Information Sicherheit

Heiß diskutierte Inhalte

HomeOffice Pflicht - Büroaustattung vom Arbeitgeber?

h45okeg493sVor 1 TagFrageOff Topic37 Kommentare

Hallo zusammen, aufgrund der HomeOffice Situation wollte ich mal rumfragen, muss der Arbeitgeber neben der Hardware wie Notebook, etc. auch Büroausstattung wie Bürostühle zur ...

Gebrauchte Server von eBay-Kleinanzeigen

gelöst dh2411Vor 1 TagFrageServer-Hardware16 Kommentare

Hallo zusammen, neulich war ich auf eBay-Kleinanzeigen unterwegs und dort wurden mir einige Server vorgeschlagen. Ich habe dort auch meinen aktuellen Home-Server recht günstig ...

Kurioses Problem IP Adresse ändern am Cisco SG350 10p

gelöst Xaero1982Vor 1 TagFrageSwitche und Hubs16 Kommentare

Moin Zusammen, ich habe hier einen neuen Cisco SG350 10p. Wie schon so oft wollte ich ihm eine neue IP geben, also gehe ich ...

Jemand hat bereits Teams für Ihre Organisation eingerichtet (Microsoft Teams)

nachgefragtVor 1 TagFrageWindows Tools6 Kommentare

Hallo Administratoren, bevor ich weiß, dass Internet ist voll davon, daher darf ich es kurz machen: Problem Wir nutzten ausschließlich die kostenlose Variante von ...

Panasonic NS700 - Endgeräte klingeln nicht, bzw. Gespräche kommen nicht an

gelöst jensgebkenVor 1 TagFrageTK-Netze & Geräte24 Kommentare

Hallo Gemeinschaft, nun habe ich mir für meine gebrauchte Anlage doch noch eine gebrauchte BRI gekauft - Installation klappte soweit auch - raustelefonieren kann ...

TV-Anschluss zu DSL Anschluss

FabioST88Vor 1 TagAllgemeinInternet12 Kommentare

Hallo zusammen, ich bin vor kurzer Zeit in eine kleine Wohnung gezogen und habe nur einen TV-Anschluss sprich das runde Kabel. Leider kenne ich ...

NET 4.8 Installation scheitert auf Server 2016

gelöst powerkeksVor 1 TagFrageWindows Server13 Kommentare

Hallo, ich habe einen Server 2016 Essentials auf Blech zu laufen. Der update Stand ist aktuell. Das Gerät läuft bis dato unauffällig. Nun sollte ...

Exchange 2016: Wie mit eingebetten Fotos umgehen oder ablehen

mossoxVor 1 TagFrageExchange Server15 Kommentare

Guten Morgen, Ihr kennt das Problem sicher. Statt zu scannen und PDF zu schicken fotografieren Kunden in HDR-Auflösung Quittungen ab und bomben dann 5-10 ...