[English]Noch ein kurzer Nachtrag zu einem Thema, dass bereits einige Tage auf meinem Stack liegt. James Forshaw vom Google Project Zero hat bereits Mitte August 2021 eine Schwachstelle in den Windows AppContainern offen gelegt, bei der über die Firewall im Netzwerk kommuniziert werden kann. Nachdem Microsoft über die Schwachstelle informiert wurde, hieß es, dass man keinen Patch bereitstelle. Vor kurzem ruderte Microsoft aber zurück und kündigte gegenüber Forshaw einen Patch an. James Forshaw vom Project Zero hat inzwischen aber die Schwachstelle und die Details der Sicherheitslücke öffentlich gemacht.
Anzeige
Ich hatte das Ganze bereits vor ca. 2 Wochen auf SecurityWeek gesehen, bin dann aber erneut über Twitter auf das Thema aufmerksam geworden.
Das Problem ist schnell umrissen: Microsoft schreibt, dass Anwendungen in einem AppContainer nicht gehackt werden können, um böswillige Aktionen außerhalb der begrenzten zugewiesenen Ressourcen zu ermöglichen. Sicherheitsforscher James Forshaw vom Google Project Zero ist aber auf eine Schwachstelle im Windows AppContainer gestoßen, die Anwendungen die Umgehung der Firewall-Regeln ermögllicht.
Firewall-Regeln lassen sich umgehen
In einem Blog-Beitrag Understanding Network Access in Windows AppContainers beschreibt er, wie er sich mit dem Innenleben der Windows Firewall beschäftigte. Die Firewall dient dazu, Einschränkungen durchzusetzen. Dazu gehören auch Regeln, ob z. B. Anwendungen aus AppContainer-Sandboxen auf das Netzwerk zugreifen dürfen bzw. können.
Anzeige
In diesem Kontext ist es interessant, ob es die Möglichkeit gibt, Netzwerkbeschränkungen in AppContainer-Sandboxen zu umgehen. In einem solchen Szenario vergrößert sich die Angriffsfläche einer bösartigen Anwendung, die im AppContainer läuft. Die Anwendung bekommt z. B. die Möglichkeit, auf Dienste über localhost zuzugreifen oder den Zugriff auf Intranet-Ressourcen in einem Unternehmen zu versuchen.
Da der Mechanismus, den die Windows-Firewall verwendet, um den Zugriff auf das Netzwerk von einem AppContainer aus zu beschränken, wohl nicht offiziell dokumentiert ist, beschreibt Forshaw die Details zur Implementierung der Beschränkungen.
Bei seinen Untersuchungen entdeckte der Sicherheitsforscher dann ein Konfigurationsproblem in Verbindung mit der Windows-Firewall. Dies ermöglicht es, die Beschränkungen der Firewall zur Kommunikation zu umgehen und einem AppContainer-Prozess den Zugriff auf das Netzwerk zu gestatten. Die Details sind im Blog-Beitrag Understanding Network Access in Windows AppContainers beschrieben.
Microsoft will zuerst nicht patchen
Forshaw hat dann Microsoft am 8. Juli 2021 über seine Entdeckung informiert. Leider hat Microsoft bereits am 19. Juli entschieden, dass dieses Problem nicht den Anforderungen eines Sicherheitsbulletins entspricht.
Die Argumentation von Microsoft lautete: Da die Anwendungen im AppContainer nicht gehackt werden können, müsste bereits eine kompromittierte App dort eingeschleust werden, um die Schwachstelle auszunutzen. Also ist es kein wirkliches Sicherheitsproblem. Die Meldung wurde als WontFix markiert.
Nachdem Forshaw seine Erkenntnisse am 9. Juli 2021 auf Google Project Zero eintrug und wohl auf Grund der Antwort Microsofts am 19. Juli 2021 veröffentlichte, machte Microsoft jedoch eine Kehrtwende. Redmond teilte Forshaw mit, dass man doch einen Patch entwickeln werde. Inzwischen hat Forshaw aber seine Erkenntnisse mit allen Details im Blog-Beitrag Understanding Network Access in Windows AppContainers offen gelegt. Wann ein Patch von Microsoft kommt, ist mir nicht bekannt.
Anzeige
Da bei MS ja auch nur Menschen sitzen und arbeiten ist es also einfache Überheblichkeit pur, die den Leuten dort, dann sicherlich auch mal auf die Füße fallen wird.