![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\")
Kleine Information zum Wochenende: Sicherheitsforscher von Google haben eine Sicherheitsl\u00fccke in Windows 10 S entdeckt, mit der sich Schutzmechanismen aushebeln und .NET-Klassen laden lassen. Die Sicherheitsl\u00fccke wird als mittelschwer klassifiziert.<\/p>\n
<\/p>\n
F\u00fcr Leute, denen der Begriff neu ist, ein paar kurze Informationen. Windows 10 S ist der Versuch von Microsoft, Windows 10 auf die Ausf\u00fchrung von Apps aus dem Microsoft Store zu beschr\u00e4nken. Das soll vor allem die Sicherheit erh\u00f6hen.<\/p>\n
Mit dem kommenden Windows 10 Version 1803 kann das Betriebssystem bei der Installation im Windows 10 S-Modus eingerichtet werden. Benutzer k\u00f6nnen aber problemlos von Windows 10 S auf Windows 10 Pro aktualisieren.<\/p>\n
Mitglieder von Googles Projekt Zero haben die Sicherheitsl\u00fccke am 19. Januar 2018 entdeckt und nach der 90-Tage-Frist automatisch Details im Chromium-Bugtracker<\/a> ver\u00f6ffentlicht. Hier die technische Beschreibung der Sicherheitsl\u00fccke:<\/p>\n The WLDP COM Class lockdown policy contains a hardcoded list of 8 to 50 COM objects which enlightened scripting engines can instantiate. Excluding issues related to the looking up of the correct CLSID (such as previously reported abuse of TreatAs case 40189). This shouldn't be a major issue even if you can write to the registry to register an existing DLL under one of the allowed COM CLSIDs as a well behaved COM implementation should compare the CLSID passed to DllGetObject against its internal list of known objects.<\/p><\/blockquote>\n Die WLDP COM Class Lockdown-Richtlinie enth\u00e4lt eine hartkodierte Liste von 8 bis 50 COM-Objekten, die von zugelassenen Scripting-Engines instanziiert werden d\u00fcrfen.<\/p>\n Es gibt nur einige Ausnahmen im Zusammenhang mit der Suche nach der korrekten CLSID (wie z.B. der zuvor gemeldete Missbrauch von TreatAs Fall 40189).<\/p><\/blockquote>\n Nach Ansicht der Google-Sicherheitsforscher sollte es kein gro\u00dfes Problem sein, die notwendigen Eintr\u00e4ger in die Registry zu schreiben, um eine bestehende DLL unter einer der erlaubten COM-CLSIDs zu registrieren. Diese COM-Implementierung sollte die an DllGetObject \u00fcbergebene CLSID mit ihrer internen Liste bekannter Objekte vergleichen k\u00f6nnen. Und weiter:<\/p>\n Turns out .NET is not one of these well behaved COM implementations. When a .NET COM object is instantiated the CLSID passed to mscoree's DllGetClassObject is only used to look up the registration information in HKCR. At this point, at least based on testing, the CLSID is thrown away and the .NET object created. This has a direct impact on the class policy as it allows an attacker to add registry keys (including to HKCU) that would load an arbitrary COM visible class under one of the allowed CLSIDs. As .NET then doesn't care about whether the .NET Type has that specific GUID you can use this to bootstrap arbitrary code execution by abusing something like DotNetToJScript.<\/p><\/blockquote>\n Es stellte sich heraus, dass .NET keine dieser als zul\u00e4ssig erachteten COM-Implementierungen ist. Wird ein .NET COM-Objekt instanziiert, wird die CLSID, die an das DllGetClassObject von mscoree \u00fcbergeben wird, nur verwendet, um die Registrierungsinformationen in HKCR nachzuschlagen. Zu diesem Zeitpunkt wird die CLSID zumindest aufgrund von Tests verworfen und das .NET-Objekt erstellt.<\/p>\n Dies hat einen direkten Einfluss auf die Klassenrichtlinie, da es einem Angreifer erlaubt, Registrierungsschl\u00fcssel (auch zu HKCU) hinzuzuf\u00fcgen. Dies erm\u00f6glicht eine beliebige sichtbare COM-Klasse unter einer der erlaubten CLSIDs zu laden. Da .NET sich dann nicht darum k\u00fcmmert, ob der .NET-Typ diese spezifische GUID hat, k\u00f6nnen Angreifer dies verwenden, um die Ausf\u00fchrung von beliebigem Code zu starten.<\/p>\n Die Sicherheitsforscher haben ein Proof of Concept (PoC) erstellt, das aus zwei Dateien, eine INF-Datei zum Einrichten der Registry und eine SCT-Datei besteht. Die INF-Datei war erforderlich, da der alte Trick unter Windows 10S 1709, REGINI daf\u00fcr zu verwenden, nicht mehr klappt. REGINI wird in Windows 10 S blockiert aber die .INF-Datei ist zugelassen (wird ja zur Treiberinstallation gebraucht).<\/p>\n Die INF-Datei kann verwenden werden, um die notwendigen Registrierungsschl\u00fcssel zu installieren. Die SCT-Datei (Script-Datei) ist nur ein Beispiel aus der DotNetToJScript-Tool-Sammlung des Google Sicherheitsforschers. Diese l\u00e4dt eine nicht vertrauensw\u00fcrdige .NET-Assembly in den Speicher. Diese zeigt im PoC nur einfache Nachrichtenbox an. Offensichtlich k\u00f6nnte die .NET-Assembly viel mehr als das. Die Beschreibung auf Chromium<\/a> enth\u00e4lt den Download f\u00fcr das PoC sowie Anweisungen, wie man das ausnutzen k\u00f6nnte.<\/p>\n Neowin<\/a> schreibt, dass die Sicherheitsl\u00fccke nur Systeme betrifft, auf denen Device Guard aktiviert ist – in erster Linie Windows 10 S. Die Schwachstelle kann nicht Remote, also nicht aus der Ferne ausgenutzt werden. Ein Angreifer m\u00fcsste den Code bereits auf dem System laufen haben, um Registrierungseintr\u00e4ge zu \u00e4ndern, was die Ausnutzbarkeit erheblich beeintr\u00e4chtigt. Google gibt daher die Sicherheitsl\u00fccke als Mittelschwer an, sofern andere m\u00f6gliche Bypass-Methoden wie Remote Code Execution (RCE) in Edge behoben wurden.<\/p>\n Die Datumsangaben zur Offenlegung der Schwachstelle ist sehr interessant. Google meldete den Fehler am 19. Januar an Microsoft. Diesen gelang es aber nicht, die Schwachstelle vor dem April Patchday zu schlie\u00dfen. Microsoft bat Google um eine 14-t\u00e4gige Verl\u00e4ngerung, und teilte Google mit, dass ein Fix beim Mai-Patchday (8. Mai 2018) ausgerollt werde. Google lehnte den Antrag von Microsoft ab und ver\u00f6ffentlichte die Details.<\/p>\n Google wies Microsoft darauf hin, dass das hier diskutierte Problem nicht ganz ernst ist und dass es noch andere Bypass-Methoden gibt, die noch nicht behoben wurden. Letzte Woche beantragte Microsoft erneut eine Fristverl\u00e4ngerung mit der Behauptung, dass die Sicherheitsl\u00fccke im Redstone 4 (RS4) Update gel\u00f6st werden w\u00fcrde. Dies lehnte Google aber ab, da kein festes Release-Datum f\u00fcr das Redstone 4-Release existiert. \"RS4 w\u00fcrde sowieso nicht als ein allgemein verf\u00fcgbarer Patch angesehen werden\". An dieser Stelle musste ich schmunzeln, weil mir \u2013 wenn ich \u00fcber Verz\u00f6gerungen berichte, mir immer vorgehalten wird 'ist doch gut, wenn Microsoft eine funktionierende Qualit\u00e4tssicherung hat \u2013 und Windows 10 V1803 kommt, wenn es fertig ist'.\u00a0 Dann schie\u00dft mir immer 'wenn ihr w\u00fcsstet' durch den Kopf. Nun ist einer der F\u00e4lle, wo die Finger noch klebrig vom Honigtopf sind, ruchbar geworden.<\/p>\n Da die Standardfrist von 90 Tagen seit dem 19. April 2018 \u00fcberschritten wurde, hat Google diesen Fehler, der haupts\u00e4chlich Windows 10 S betrifft, \u00f6ffentlich bekannt gegeben. Es wird interessant sein zu sehen, ob Microsoft gezwungen ist, einen Hotfix zu ver\u00f6ffentlichen, oder ob es immer noch plant, den Fix am 8. Mai mit dem Patch herauszubringen.<\/p>\n \u00c4hnliche Artikel: Kleine Information zum Wochenende: Sicherheitsforscher von Google haben eine Sicherheitsl\u00fccke in Windows 10 S entdeckt, mit der sich Schutzmechanismen aushebeln und .NET-Klassen laden lassen. Die Sicherheitsl\u00fccke wird als mittelschwer klassifiziert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,6132],"class_list":["post-203527","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-10-s"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203527","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=203527"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203527\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=203527"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=203527"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=203527"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Nur mittelschweres Problem<\/h2>\n
\n<\/strong>Windows 10 S und Surface Laptop vorgestellt<\/a>
\nWindows 10 S: Test f\u00fcr Alle?<\/a>
\nWindows 10 S\u2013Schlag ins Wasser oder Chromebook-Killer?<\/a>
\nWindows 10 S: Sicher und Trojaner-resistent? Mitnichten<\/a>
\nFunktionsupdate \u00e4ndert Windows 10 S zu Pro<\/a>
\nMicrosoft: Die Mehrheit der Kunden wird Windows 10 S nutzen<\/a>
\nWindows 10 S: Kommt mit Windows 10 V1803<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"