[English]Ist auf Windows-Systemen eine Virtualisierungssoftware von VMware mit den VMware Tools installiert? Dann existiert vermutlich eine Privilege Escalation-Schwachstelle, über die Angreifer ihre Rechte erhöhen können. Ergänzung: Inzwischen wurden die Tweets gelöscht und der Blog-Beitrag auf privat geschaltet – ich hatte aber lange genug Zeit, die Schwachstelle grob zu skizzieren.
Anzeige
Aufgedeckt hat dies Sandboxescaper, die bereits in der Vergangenheit für die Offenlegung diverser 0-Day-Schwachstellen verantwortlich war. Allerdings hatte ich erwartet, dass dieser Kanal verstummt, denn Microsoft hat Sandboxescaper angeheuert (siehe meinen Tweet vom 2. Dezember 2019).
So, keine 0-day exploits mehr von #SandboxEscaper – der hat bei Microsoft angeheuert. https://t.co/QShyBugdd7
— Günter Born (@etguenni) December 2, 2019
Aktuell scheint Sandboxescaper in einer Übergangsphase zu sein, wo noch keine Geheimhaltungsabkommen unterschrieben wurden. Und so hat sie gerade folgenden Tweet abgesetzt:
https://t.co/46rbaSDmOt Here is part one. Pretty sure the attack surface described has many more bugs (not just the vmware tools installer.. I doubt this bug is exploitable in the first place, just wanted something to demo that is unpatched, easier for folks to learn!)
— SandboxEscaper (@SandboxBear) December 16, 2019
Anzeige
Dem Blog-Beitrag nach ist sie unter Windows auf ein neues Problem gestoßen. Dort gibt es den versteckten Ordner Installer, und in diesem Ordner ist eine .msi-Installer-Datei aufgefallen, die mit erhöhten Rechten starten kann, ohne eine Nachfrage der Benutzerkontensteuerung auszulösen. Bedeutet, dass sich Installer-Dateien in diesem Ordner ohne Nachfrage der Benutzerkontensteuerungen zur Erhöhung der Privilegien ausführen lassen.
Sandboxescaper hat nun eine 0-Day-Schwachstelle in VMware aufgetan. Gebraucht wird eine virtuelle Windows 10-Maschine, in der die VMware-Tools installiert sind. Über einen Befehl:
c:\Windows\installer /fa 368c0.msi
(wobei der Name der .msi-Datei variiert) lässt sich eine Reparatur der VMware-Tools-Installation anstoßen. Dabei werden eine Reihe Dateien im Ordner ProgramData manipuliert. Nun schreibt Sandboxescapter, dass dieser Ordner in einigen Fällen durch normale Benutzer beschreibbar sei. So kann ein Standardnutzer im VMware Script-Ordner wohl Dateien anlegen, aber keine vorhandenen Dateien ändern.
Im Blog-Beitrag beschreibt sie einen trickreichen Angriff mit einem Proof of Concept, bei dem über eine Junction im Ordner ProgramData Schreiboperationen in einen eigene Ordner umgeleitet werden können. Damit gibt es ein Wurmloch, über das sich eventuell Manipulationen und eine Ausweitung von Rechten vornehmen lassen. Ich habe es mir nicht in allen Feinheiten angesehen, wer sich für das Thema interessiert, findet Details im Blog-Beitrag und Diskussionen zu diesem Tweet.
Anzeige