Windows ALPC Zero-Day-Schwachstelle im Task-Scheduler
Es gibt eine 0-day Schwachstelle im ALPC Interface des Task-Scheduler (Aufgabenplanung), die lokalen Nutzern eine Rechteausweitung bis auf SYSTEM-Privilegien ermöglicht. Glücklicherweise nur lokal ausnutzbar. Was ich bisher weiß, habe ich mal in folgendem Beitrag zusammen getragen.
Neue Windows ALPC Zero-Day-Schwachstelle entdeckt
Neue Windows ALPC Zero-Day-Schwachstelle entdeckt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384665
Url: https://administrator.de/contentid/384665
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
8 Kommentare
Neuester Kommentar
Moin.
Ich gehe mal davon aus, dass Sie sich damit befasst haben.
Im write-up.docx des PoC steht, dass man einen Hardlink erstellt, um das auszunutzen. Nicht-Admins können jedoch gar keine Hardlinks erstellen (mklink /h). Hat sich der Autor nur falsch ausgedrückt, oder testet er bereits mit einem Adminuser?
Ich gehe mal davon aus, dass Sie sich damit befasst haben.
Im write-up.docx des PoC steht, dass man einen Hardlink erstellt, um das auszunutzen. Nicht-Admins können jedoch gar keine Hardlinks erstellen (mklink /h). Hat sich der Autor nur falsch ausgedrückt, oder testet er bereits mit einem Adminuser?
Ich habe noch nicht verstanden, warum es vorhin nicht ging - nun geht es auch auf dem Zweitsystem.
Ich habe nun die ACL auf c:\windows\system32\tasks verändert und dem Nutzer Schreibrechte genommen (nun lediglich "read permissions" übrig gelassen). Resultat: der Exploit funktioniert nicht mehr, aber der Scheduler ist weiterhin nutzbar (Tasks laufen, können von Admins angelegt werden...). Es sieht wie ein gangbarer Workaround aus, bis der Patch da ist.
Ich schätze, der einzige Nebeneffekt ist, dass keine .job Files mehr auf die vom Exploit ausgenutzte Weise verarbeitet werden - aber das stört vermutlich niemanden mehr.
Ich habe nun die ACL auf c:\windows\system32\tasks verändert und dem Nutzer Schreibrechte genommen (nun lediglich "read permissions" übrig gelassen). Resultat: der Exploit funktioniert nicht mehr, aber der Scheduler ist weiterhin nutzbar (Tasks laufen, können von Admins angelegt werden...). Es sieht wie ein gangbarer Workaround aus, bis der Patch da ist.
Ich schätze, der einzige Nebeneffekt ist, dass keine .job Files mehr auf die vom Exploit ausgenutzte Weise verarbeitet werden - aber das stört vermutlich niemanden mehr.
Also in der Uni Hamburg, in Netzwerk der Herbrich Corporation (ja selbst ich) überall dort wird mit Standart Konten gearbeitet. Ich meine selbst die UAC ist mir nicht gehäuser und nervt nur weswegen ich dann schon lieber ganz auf admin verzichte zum Arbeiten.
Developer Terminal Server sind bei mir z.B. eine Ausnahme aber da dürfen auch nur bestimmte Nutzergruppen ran die endsprechende Kentniss haben und auch nur für die ausführung von Visual Studio und co. Die Systeme werden alle Nachts um 00:00 Uhr Zurückgesetzt (alle Files liegen auf Team Foundation und da geht auch alle 2 Stunden eine AV durch).
Also mein Persönliches Fazit ist, wenn man nicht gerade als privat User Zuhause chillt sollte User eigentlich keine Admin Rechte haben und Admins (sollten) wisssen was man eigentlich nicht anklicken sollte
LG, J Herbrich
Developer Terminal Server sind bei mir z.B. eine Ausnahme aber da dürfen auch nur bestimmte Nutzergruppen ran die endsprechende Kentniss haben und auch nur für die ausführung von Visual Studio und co. Die Systeme werden alle Nachts um 00:00 Uhr Zurückgesetzt (alle Files liegen auf Team Foundation und da geht auch alle 2 Stunden eine AV durch).
Also mein Persönliches Fazit ist, wenn man nicht gerade als privat User Zuhause chillt sollte User eigentlich keine Admin Rechte haben und Admins (sollten) wisssen was man eigentlich nicht anklicken sollte
LG, J Herbrich