Windows 10 Zero-Day-Exploit in Microsoft Data Sharing

Publiziert am 24. Oktober 2018 von Günter Born

[English]Ein Nutzer mit dem Twitter-Namen @SandboxEscaper hat erneut einen Zero-Day-Exploit in Windows 10 (und den Server-Editionen) offen gelegt und gleich ein Proof of Concept (PoC) auf GitHub veröffentlicht. Es betrifft die Microsoft Data Sharing-Bibliothek dssvc.dll, die eine Rechteausweitung ermöglicht.

Anzeige

Der Twitter-Nutzer @SandboxEscaper hatte bereits vor zwei Monaten mit einem Zero-Day-Exploit im Task-Scheduler (Aufgabenplanung) von sich reden gemacht – dann seinen Twitter-Account aber abgeschaltet (siehe Neue Windows ALPC Zero-Day-Schwachstelle entdeckt).

Schwachstelle in Microsoft Data Sharing-Bibliothek

Jetzt hat sich @SandboxEscaper wieder über Twitter zurückgemeldet und weist auf eine neue Schwachstelle in Windows hin.

Der Text des Tweets ist etwas kryptisch, schreibt der Entdecker etwas von einem immer noch ungepatchten 'Fehler von niedriger Qualität', der sich ausnutzen lasse. Gleichzeitig hat er auf GitHub ein Proof of Concept (PoC) veröffentlicht, mit dem sich der Fehler ausnutzen lassen soll. Hier wird die betreffende RAR-Archivdatei sofort als schädlich von Chrome blockiert.

Anzeige

Dem obigen Tweet lässt sich entnehmen, dass @SandboxEscaper sich wohl aus dem Ganzen zurück ziehen will – er habe fertig, schreibt er. Und er deutet wohl an, dass er pleite sei (die vorherige Schwachstelle hatte er versucht, meistbietend zu verkaufen, möglicherweise ist er diesbezüglich 'verbrannt' ). Geht möglicherweise aus diesem Tweet (wohl gelöscht) hervor, wo er andeutet, dass er sich Medikamente auf dem grauen Markt besorgen muss, weil die Gesundheitsversorgung in Belgien Mist ist. Den Andeutungen nach, dürfte er unter einer Depression leiden und scheint dadurch arbeitslos/nicht arbeitsfähig zu sein. Aber das ist eine Spekulation meinerseits.

Ein paar Hinweise zur Schwachstelle

The Hacker News hat sich des Themas in diesem Artikel angenommen. Die Schwachstelle (Zero-Day-Exploit) steht in der Microsoft Data Sharing-Bibliothek dssvc.dll. Diese ist für den Data Sharing Service verantwortlich. Der Data Sharing Service ist ein lokaler Dienst, der als LocalSystem-Konto mit umfangreichen Rechten ausgeführt wird und eine Datenvermittlung zwischen Anwendungen ermöglicht.

Das auf eine Github-Seite veröffentlichte Proof-of-Concept (PoC) nutzt wohl eine Privilege Escalation -Schwachstelle in der Data Sharing-Bibliothek dssvc.dll aus. Die Schwachstelle könnte es einem niedrigprivilegierten Angreifer ermöglichen, seine Berechtigungen auf einem Zielsystem zu erhöhen. Allerdings ermöglicht der von @SandboxEscaper freigegebene PoC-Exploit-Code (deletebug.exe) einem niedrigprivilegierten Benutzer lediglich kritische Systemdateien zu löschen, die andernfalls nur mit Administratorberechtigungen zugreifbar sind. @SandboxEscaper schreibt laut The Hacker News:

"Not the same bug I posted a while back, this doesn't write garbage to files but actually deletes them.. meaning you can delete application dll's and hope they go look for them in user write-able locations. Or delete stuff used by system services c:\windows\temp and hijack them."

Es ist nicht der gleiche Fehler, den der Betreffende vor einer Weile gepostet hat, d.h. es lässt sich nicht in Dateien schreiben. Aber es können Dateien wie DLLs von Anwendungen gelöscht werden. Oder es lassen sich Dinge, die von Systemdiensten verwendet werden (z.B. c:\windows\temp) löschen. Das ermöglicht einen erweiterten Angriffsvektor, wie @SandboxEscaper schreibt.

Ist eine DLL gelöscht, kann man hoffen, dass die Anwendungen, Dienste oder was auch immer dann an Orten (via Suchpfad) suchen, die mit Anwenderrechten beschrieben werden können. Platziert ein Angreifer dann eigene DLLs in diesen Verzeichnissen, ist ein erfolgreiches DLL-Hijacking möglich (das Szenario hatte ich ja mehrfach im Blog adressiert).

Windows 10 und Server-Editionen gefährdet

The Hacker News schreibt, dass der Microsoft Data Sharing-Dienst in Windows 10 und neueren Versionen von Windows Server-Editionen eingeführt wurde. Mit anderen Worten: Nutzer von Windows 7 SP1 und Windows 8.1 samt den Server-Pendants sind von dieser Schwachstelle nicht betroffen.

Der PoC-Exploit wurde von Will Dormann erfolgreich gegen "vollständig gepatchtes Windows 10-System" (V1803) mit den neuesten Sicherheitsupdates vom Oktober 2018, Server 2016 und Server 2019, wie er auf Twitter schreibt.

An dieser Stelle der Hinweis: Ich empfehle keinem Blog-Leser bzw. keiner Leserin den PoC auszuführen. Keiner weiß, was da in der Datei drin steckt – und der Code kann das Betriebssystem zum Absturz bringen. Weitere Infos findet ihr ggf. bei The Hacker News in diesem Artikel.

Mikropatch von 0patch verfügbar

Was man bei The Hacker News nicht findet: Stunden nachdem der PoC von @SandboxEscaper veröffentlicht wurde, hat sich Mitja Kolsek von 0patch per Twitter zu Wort gemeldet.

In einem weiteren Tweet von 0patch sieht es so aus, als ob die Schwachstelle nicht mehr ausnutzbar ist.

Zu 0patch und deren Micro-Patches hatte ich ja bereits einige Artikel hier im Blog. Die sind immer recht fix dabei, um Zero-Day-Exploits zu patchen, bevor Microsoft mit einem regulären Update herauskommt.

Ähnliche Artikel:
Neue Windows ALPC Zero-Day-Schwachstelle entdeckt
Windows ALPC 0-day-Lücke wird durch Malware ausgenutzt
Windows ALPC-Schwachstelle (CVE-2018-8440) in Exploit-Kit

Anzeige
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Windows 10 Zero-Day-Exploit in Microsoft Data Sharing

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.