Es gibt einige Neuerungen zu der im Windows Task-Planner (Aufgabenplaner) existierenden, und bisher ungepatchten Schwachstelle. Der Defender erkennt bestimmte Angriffe und es gibt einen 0patch-Fix.
Anzeige
Worum geht es?
Vor einigen Tagen hatte ich ja über die ALPC Zero-Day-Schwachstelle im Windows Task-Planner (Aufgabenplaner) berichtet (siehe meinen Blog-Beitrag Neue Windows ALPC Zero-Day-Schwachstelle entdeckt). Ein Hacker hatte diese Schwachstelle samt einem Proof of Concept (PoC) veröffentlich. Mit dem im PoC bereitgestellten Inventar kann man unter Windows eine Rechteausweitung auf System-Berechtigungen erreichen.
Sicherheitsforscher Will Dormann hat in einem Tweet ein Beispiel für eine solchen Angriff gepostet.
SYSTEM code execution on Windows 7. Just for fun. pic.twitter.com/Fx7nMYK1rJ
— Will Dormann (@wdormann) 30. August 2018
Mir ist bei einem kurzen Test vor einigen Tagen diese Rechteausweitung aber nicht gelungen (vermutlich ist mir ein Fehler unterlaufen). Mir liegen jedoch Bestätigungen, auch deutscher Nutzer, vor, dass das Ganze auf diversen Systemen funktioniert (die Rückmeldung war 'auf einem System funktioniert der Exploit, auf einem anderen nicht').
Anzeige
Das Proof of Concept (PoC) war vom Entdecker der Schwachstelle nur für 64-Bit-Versionen von Windows bereitgestellt worden. Will Dormann hat sich den Code angesehen und konnte den Exploit mit wenigen Änderungen auch für die 32-Bit-Versionen von Windows anpassen.
I can't imagine too many people are interested, but I can confirm that with minor tweaks the public exploit code for the Windows Task Manager ALPC vul works on 32-bit Windows 10 as well. pic.twitter.com/1pf2JU6D2o
— Will Dormann (@wdormann) 28. August 2018
Meine Hoffnung, dass Microsoft vielleicht schon letzte Woche einen Fix bereitstellt, hat sich nicht erfüllt. In den Blogbeiträgen Windows 7/8.1 Preview Rollup Updates KB4343894, KB4343891 (30. August 2018) und Windows 10: Update KB4346783, KB4343893, KB4343889, KB4343884 (30.8.2018) ist mir jedenfalls nichts dergleichen aufgefallen. Da heißt es, bis zum 11. September 2018 warten, dann ist der nächste reguläre Patchday.
Bisher sind auch noch keine Angriffe bekannt geworden. Wer sich aber absichern möchte, könnte Workarounds ins Auge fallen. Einen Workaround hatte ich bereits im Blog-Beitrag Neue Windows ALPC Zero-Day-Schwachstelle entdeckt genannt: Die Schreibrechte auf den Ordner c:\windows\system32\tasks entziehen (siehe auch folgenden Tweet).
Short term solution on VU#906424:
icacls c:\windows\tasks /remove:g "Authenticated Users"
icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)
Tested and blocks 0day, changing these rights may result in unexpected behavior in scheduled tasks.@USCERT_gov— Karsten Nilsen (@karsten_nilsen) 28. August 2018
0patch stellt einen 0-Day-Fix bereit
Der Anbieter 0patch entwickelt 0-Day-Patches, um von den Herstellern einer Software (noch) nicht geschlossene Schwachstellen zu fixen. Das hatte ich ja schon in mehreren Blog-Beiträgen (hier, hier, hier) in anderem Zusammenhang berichtet. In meinem Blog-Beitrag Neue Windows ALPC Zero-Day-Schwachstelle entdeckt gab es bereits den Hinweis, dass 0patch bereits einen 0-Day-Fix testet.
Jetzt hat mich der Entwickler Mitja Kolsek informiert, dass dieser Fix in der Endfassung zur Verfügung steht.
I'd like to inform you that our company has created a micropatch for the "0day" vulnerability in Windows Task Scheduler that was published on Twitter this Monday, and has no official patch available.
0patch by ACROS Security writes micropatches for critical security flaws which users can't fix otherwise for some reason or another (official patch not yet available, unsupported product, unresponsive vendor etc.)
If you're interested in more details, please refer to our blog post on this issue.
Wer also Bedarf an einem sofortigen Fix hat, kann bei denen also fündig werden.
Windows Defender erkennt bestimmte Angriffe
Auch Microsoft hat wohl intern reagiert. An einem Update, welches die ALPC-Schnittstelle absichert, arbeitet man wohl noch. Aber das Windows Defender-Team ist hingegangen und hat dem Defender eine Erkennung auf bestimmte Angriffsmethoden spendiert. Dies entnehme ich dem Tweet von Will Dormann.
At least Windows Defender is better at detecting variants of this exploit by now. pic.twitter.com/duwKzfQXsE
— Will Dormann (@wdormann) 31. August 2018
Wenigstens etwas, was Microsoft unternimmt.
Anzeige
