[English]Tavis Ormandy von Googles Projekt Zero hat einen Bug im Windows Editor Notepad gefunden, über den er einen Shell-Zugriff erhält. Dies kann genutzt werden, um einen Angriff auf ein Windows-System zu versuchen. Hier einige Informationen zu dieser Schwachstelle.
Anzeige
Tavis Ormandy gehört ja zu den Sicherheitsforschern von Googles Projekt Zero und hat in der Vergangenheit einige Sicherheitslücken in Produkten, u.a. Windows, gefunden. In einem Tweet weist er auf eine neue Schwachstelle hin.
Am I the first person to pop a shell in notepad? ….believe it or not, It's a real bug! pic.twitter.com/t2wTh7E93p
— Tavis Ormandy (@taviso) 28. Mai 2019
Auf Threadpost.com finden sich weitere Informationen zu dieser Schwachstelle, die wohl seit 1985 in allen Versionen des Windows-Editors existiert. Ein Memory Corruption Bug (Speicherüberlauf) im Windows Editor Notepad kann verwendet werden, um den Remote-Shell-Zugriff zu öffnen. Ein Shell-Zugriff in Form der Eingabeaufforderung ist – normalerweise ein erster Schritt für Angreifer, die in ein System eindringen wollen.
Offenlegung der Schwachstelle in 90 Tagen
Tavis Ormandy hat außer dem Tweet nichts weiter zu dieser Schwachstelle veröffentlicht. Nutzer haben dann auf Twitter gemutmaßt, dass er im Öffnen-Dialogfeld die cmd.exe per Rechtsklick aufgerufen habe. Dazu schreibt er:
Anzeige
All I can say it's a serious security bug, and we've given Microsoft up to 90 days to address it (as we do with all the vulns we report). That's all I can share,
Also gibt es irgend ein Mechanismus, mit dem man den Editor missbrauchen kann. Microsoft ist informiert und hat jetzt 90 Tage, den Notepad zu patchen. Allerdings widerspricht Chaouki Bekrar, Gründer von Zerodium, einem Unternehmen, das Zero-Day-Schwachstellen kauft, in folgendem Tweet.
No Tavis, you're not the first person to pwn notepad with a nice memory corruption BUT you're probably the first one to report it to MS ;-)https://t.co/udQGduVpKO
— Chaouki Bekrar (@cBekrar) 29. Mai 2019
Es gab wohl in der Vergangenheit schon Hacks des Notepads, nur wurden diese Exploits nie an Microsoft gemeldet oder öffentlich bekannt.
Sicherheitsforscher sind erstaunt
'Es ist beeindruckend, diesen Angriff überhaupt zum Laufen zu bringen', sagte Dan Kaminsky, Chefwissenschaftler und Gründer von White Ops. "Notepad besitzt eine so geringe Angriffsfläche, dass es bemerkenswert ist, dass es immer noch ausreicht, um einem Angreifer die Möglichkeit zu geben, beliebigen Code auszuführen. Das soll nicht heißen, dass es angesichts der geringen Angriffsfläche von Notepad keinen Platz für etwas gibt, das schief geht."
Für viele Sicherheitsforscher scheint das "Poppen einer Shell", also das Öffnen einer Eingabeaufforderung, über Notepad noch nicht bekannt zu sein – zumindest ist nichts dokumentiert. Der Begriff "Poppen einer Shell" ist die Abkürzung für einen Angriff, bei dem der Gegner einen Computer ausnutzt und über eine Shell-Verbindung Fernzugriff erhält. Weitere Details sind im threadpost.com-Artikel nachlesbar. (via)
Anzeige
Die Frage ist doch, mit welchen Rechten die Shell aufgeht – wahrscheinlich nur Userrechte. Eine Bedrohung ist das dann eigentlich nur für Whitelisting-Geschichten wie Applocker oder SRPs – man müsste dann Notepad mit auslisten. Ansonsten kann man sogar per Word oder Excel ne Powershell öffnen, fast jeder Verschlüsselungs-Trojaner arbeitet so.
Bin gespannt auf die Details, denn wenn Tavis Ormandy was findet, ist es meist etwas ernsteres als ne Powershell mit Userrechten.
"Es gab wohl in der Vergangenheit schon Hacks des Notepads, nur wurden diese Exploits nie an Microsoft gemeldet oder öffentlich bekannt."
Der NSA, CIA, FBI und den Trojanerherstellern wird diese Angriffsmöglichkeit vielleicht bekannt sein.
Wenn nicht, dann sind die schlafenden Hunde jetzt geweckt und werden suchen.
Was ist eigentlich der Unterschied zwischen der Powershell und der Eingabeaufforderung. Die Eingabeaufforderung ist das DOS-Fenster, und die Powershell?
Manche Fragen lassen sich einfach beantworten, indem man eine sogenannte Suchmaschine benutzt. Ein solches Teil führt schnell zu folgender Seite:
https://blog.varonis.de/windows-powershell-vs-cmd-was-ist-der-unterschied/
Ich habs gemerkt :-)
Ich habe mir die Erklärung auf dem varonis-blog mal durchgelesen.
In der Eingabeaufforderung wird mit Befehlen und in der PowerShell mit Scripten gearbeitet.
Nein. Auch Powershell kann "einfache" Befehle ausführen. Die Befehle haben eine ganz andere Syntax und sind viel leistungsfähiger. Vieles kann man (ohne externe Tools) nur in der PS machen. Manche Befehle aus der Eingabeaufforderung funtionieren auch in der PS.
Ach so, wusste ich nicht explizit genau.
Danke für die Aufklärung.
Vor längerer Zeit habe ich mal versucht, etwas in PS einzugeben. Aber es hat nicht funktioniert.
Wenn ich mich richtig erinnere, war meine Berechtigung nicht ok.
Obwohl ich PS mit "als Admin ausführen" geöffnet habe.