{"id":208442,"date":"2018-08-28T12:04:00","date_gmt":"2018-08-28T10:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=208442"},"modified":"2019-02-02T16:12:55","modified_gmt":"2019-02-02T15:12:55","slug":"neue-windows-alpc-zero-day-schwachstelle-entdeckt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/08\/28\/neue-windows-alpc-zero-day-schwachstelle-entdeckt\/","title":{"rendered":"Neue Windows ALPC Zero-Day-Schwachstelle entdeckt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2018\/08\/28\/windows-0-day-alpc-vulnerability-in-task-scheduler\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]In Windows existiert eine ungepatchte Zero-Day-Schwachstelle (zero-day local privilege escalation vulnerability), \u00fcber die unprivilegierte Benutzer Rechte bis auf SYSTEM-Ebene ausweiten k\u00f6nnen. Hier einige Informationen zum Sachverhalt. <strong>Erg\u00e4nzung:<\/strong> Die Schwachstelle kann per Workaround entsch\u00e4rft werden. Zudem gibt es einen ersten 0patch-Testkandidaten f\u00fcr die Geschichte.<\/p>\n<p><!--more--><\/p>\n<h2>Erste Infos per Twitter<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/de8f1aa1982741998a28901adcc570cd\" alt=\"\" width=\"1\" height=\"1\" \/>Die ersten Meldungen erreichten mich die Nacht \u00fcber Twitter (siehe hier), wobei der Twitter-Kanal der Person <em>@sandboxescapter<\/em>, die das urspr\u00fcnglich gepostet hat, inzwischen gel\u00f6scht wurde. Der uspr\u00fcngliche Tweet lautete folgenderma\u00dfen:<\/p>\n<blockquote><p>Here is the alpc bug as 0day: <a href=\"https:\/\/t.co\/m1T3wDSvPX\" target=\"_blank\" rel=\"noopener\">https:\/\/t.co\/m1T3wDSvPX<\/a> I don't fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.<\/p>\n<p>\u2014 SandboxEscaper (@SandboxEscaper) August 27, 2018<\/p><\/blockquote>\n<p>Kevin Beaumont (@GossiTheDog) hat aber die Information in diesem Tweet zusammen gefasst:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">The account got pulled, but the PoC is at <a href=\"https:\/\/t.co\/JqX4ueHorZ\">https:\/\/t.co\/JqX4ueHorZ<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) 28. August 2018<\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>und auf die <a href=\"https:\/\/web.archive.org\/web\/20180901120852\/https:\/\/github.com\/SandboxEscaper\/randomrepo\" target=\"_blank\" rel=\"noopener\">GitHub-Quelle<\/a> verlinkt, wo das Proof of Concept (PoC) zu finden ist. CERT\/CC-Schwachstellenanalytiker Will Dormann verifizierte den Fehler. In einem <a href=\"https:\/\/twitter.com\/wdormann\/status\/1034201023278198784\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> best\u00e4tigte er die Schwachstelle.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">I've confirmed that this works well in a fully-patched 64-bit Windows 10 system.<br \/>\nLPE right to SYSTEM! <a href=\"https:\/\/t.co\/My1IevbWbz\">https:\/\/t.co\/My1IevbWbz<\/a><\/p>\n<p>\u2014 Will Dormann (@wdormann) <a href=\"https:\/\/twitter.com\/wdormann\/status\/1034201023278198784?ref_src=twsrc%5Etfw\">27. August 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Will Dormann best\u00e4tigt, dass der Exploit auf einem vollst\u00e4ndig gepatchten 64-Bit-Windows 10-System gut funktioniert. Es ist eine Local Privilege Escalation-Schwachstelle, die Rechteausweitung bis zu SYSTEM erm\u00f6glicht. Dormann hat dann eine CERT-Warnung (<a href=\"https:\/\/www.kb.cert.org\/vuls\/id\/906424\" target=\"_blank\" rel=\"noopener\">VU#906424 Microsoft Windows task scheduler contains a local privilege escalation vulnerability in the ALPC interface<\/a>) ver\u00f6ffentlicht.<\/p>\n<h2>Schwachstelle im Task-Scheduler<\/h2>\n<p>Die Zero-Day-Schwachstelle steckt im Task-Scheduler von Windows im ALPC-Interface. Das K\u00fcrzel ALPC steht f\u00fcr Advanced Local Procedure Call. Der Windows Task-Scheduler (Aufgabenplanung) enth\u00e4lt eine Schwachstelle in der Handhabung von ALPC-Aufrufen, die es einem lokalen Benutzer erm\u00f6glicht, SYSTEM-Privilegien zu erlangen.<\/p>\n<h3>Begrenzte Ausnutzbarkeit?<\/h3>\n<p>Erg\u00e4nzung: Die Schwachstelle erfordert jedoch, dass das Konto die Berechtigungen besitzt, einen Hardlink zu erstellen <del>(was m. M. nur mit Administratorkonten geht)<\/del>. Zitat aus der Beschreibung des PoC.<\/p>\n<blockquote><p>Tasks created by the task scheduler will create a corresponding folder\/file in c:\\windows\\system32\\tasks. This function seems to be designed to write the DACL of tasks located there, and will do so while impersonating. However, for some reason it will also check if a .job file exists under c:\\windows\\tasks and try to set the DACL while not impersonating. Since a user, and even a user belonging to the guests group can create files in this folder, <em>we can simply create a hardlink to another file<\/em> (all we need is read access). Because of the hardlink, we can let the task scheduler write an arbitrary DACL (see second parameter of SchRpcSetSecurity) to a file of our choosing.<\/p>\n<p>So any file that we have read access over as a user and that system has the write DACL permission for, we can pivot into full control and overwrite it.<\/p><\/blockquote>\n<p>Selbst der lesende Zugriff auf den Ordner\u00a0<em>c:\\windows\\system32\\tasks<\/em> ist f\u00fcr Standardnutzer nicht m\u00f6glich (gerade nochmals explizit getestet).\u00a0Da aber manche Nutzer unter Administratorkonten arbeiten, sollten sich die Hardlinks anlegen lassen. Erg\u00e4nzung: Auch unter Standard-Benutzerkonten lassen sich Hardlinks anlegen. Dann lie\u00dfen sich SYSTEM-Rechte erlangen. <del>Bei einem Standardkonto mit begrenzten Rechten klappt das (wegen der fehlenden Rechte zum Erstellen von Hardlinks oder zum Zugriff auf den <em>tasks<\/em>-Ordner, zumindest bei meinen Versuchen per Eingabeaufforderung) nicht<\/del>.<\/p>\n<p>Der Autor des PoC schreibt denn auch, dass der Charme des Exploits darin liege, dass man nun eine Menge Dateien manipulieren k\u00f6nne, auf die normalerweise nur der Trusted Installer Zugriff hat. Das ist bei solchen Daten unter Administratorkonten m\u00f6glich, indem man die Dateien als Besitzer \u00fcbernimmt.<\/p>\n<h3>Erg\u00e4nzung: Es scheint einen Workaround zu geben<\/h3>\n<p>Auf administrator.de gibt es <a href=\"https:\/\/www.administrator.de\/content\/detail.php?id=384665&amp;token=651#comment-1307318\" target=\"_blank\" rel=\"noopener\">eine Diskussion<\/a>\u00a0zum Thema, nachdem ich dort den Hinweis eingestellt habe. Dort hat jemand das, woran ich gescheitert bin, auf einem System (auf dem zweiten nicht) hin bekommen, er konnte auf einem System unter einem Standardkonto Notepad Systemrechte zuweisen. Irgend etwas habe ich \u00fcbersehen.\u00a0Interessant finde ich den dort beschriebenen Workaround:<\/p>\n<p><em>c:\\windows\\system32\\tasks <\/em><\/p>\n<p>die Schreibrechte zu entziehen. Damit kann\u00a0man wohl erreichen, dass der PoC-Exploit nicht mehr funktioniert. Ist f\u00fcr Administratoren in Unternehmensumgebungen ggf. von Interesse. Sofern ihr dort aktiv werdet, behaltet <a href=\"https:\/\/www.administrator.de\/forum\/sandbox-escaper-exploit-abfedern-384833.html\" target=\"_blank\" rel=\"noopener\">diesen Thread<\/a> bei administrator.de im Auge. Dort hat der betreffende Administrator seinen Workaround zur Diskussion gestellt.<\/p>\n<h3>Erg\u00e4nzung 1: 0patch wohl im Anflug<\/h3>\n<p>\u00dcber die Leute von 0patch hatte ich ja schon mehrere Blog-Beitr\u00e4ge (<a href=\"https:\/\/borncity.com\/blog\/2018\/05\/15\/0day-patch-fr-cve-2018-8174-von-0patch-verfgbar\/\">hier<\/a>, <a href=\"https:\/\/borncity.com\/blog\/2017\/08\/24\/drittanbieter-0patch-fr-foxit-sicherheitslcke\/\">hier<\/a>, <a href=\"https:\/\/borncity.com\/blog\/2018\/01\/18\/microsoft-office-formeleditor-3-0-reaktivieren\/\">hier<\/a>). Die Leute entwickeln Mikropatches, die Schwachstellen schlie\u00dfen, die von den Softwareanbietern (noch) nicht geschlossen worden sind. Dazu muss ein spezieller Patch-Agent installiert werden, der dann die Mikropatches beim Start der Anwendung l\u00e4dt.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Okay people, 24 hours after the 0day was published we have a micropatch candidate for @SandboxEscaper's LPE in Task Scheduler. As you can see, scheduler's access to user-controlled hardlink is impersonating the user and gets ACCESS DENIED. <a href=\"https:\/\/t.co\/3kHcXdY42H\">pic.twitter.com\/3kHcXdY42H<\/a><\/p>\n<p>\u2014 0patch (@0patch) <a href=\"https:\/\/twitter.com\/0patch\/status\/1034577454961176577?ref_src=twsrc%5Etfw\">28. August 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Team von <a href=\"https:\/\/0patch.com\/\" target=\"_blank\" rel=\"noopener\">0patch<\/a> hat in obigem Tweet bekannt gegeben, dass man bereits mit einem Mikropatch-Kandidaten operiert. Falls es also besonders brennt, k\u00f6nnte man bei denen anfragen (ich selbst habe aber bisher nicht mit deren Mikropatches und dem Agenten gearbeitet).<\/p>\n<h3>Schwachstelle sowieso nur lokal ausnutzbar<\/h3>\n<p>Gl\u00fcck im Ungl\u00fcck: Dadurch l\u00e4sst sich die bisher ungepatchte Schwachstelle nur lokal, nicht aber Remote per Internet, ausnutzen. Und Standardnutzer (z.B. in Unternehmensumgebungen) sind nach meinem bisherigen Kenntnisstand eher nicht gef\u00e4hrdet. Allerdings \u00f6ffnet dies einen vertrauten Angriffsvektor: Wenn ein Angreifer einen Benutzer (mit entsprechenden Rechten) dazu verleiten kann, ein Schadprogramm aus dem Internet herunterzuladen und auszuf\u00fchren, kann dieses die L\u00fccke zur Ausweitung der Rechte (aus dem lokalen Benutzerkontext eines Admin-Kontos) auf Systemprivilegien verwenden.<\/p>\n<p>The Register hat bei Microsoft angefragt. Ein Microsoft-Sprecher antwortete, \"dass man so schnell als m\u00f6glich reagieren wolle\", und verwies auf den Zeitplan f\u00fcr das Update am Dienstag. Mal schauen, ob heute &#8211; bzw. am 11. September 2018 &#8211; ein Patch kommt. Erg\u00e4nzung: Inzwischen sind mehrere Artikel <a href=\"https:\/\/www.helpnetsecurity.com\/2018\/08\/28\/windows-zero-day-local-privilege-escalation\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>, <a href=\"https:\/\/www.theregister.co.uk\/2018\/08\/28\/windows_0day_pops_up_out_of_span_classstrikenowherespan_twitter\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>\u00a0 und <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/exploit-published-for-unpatched-flaw-in-windows-task-scheduler\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> erschienen. Auch heise.de hat inzwischen <a href=\"https:\/\/www.heise.de\/security\/meldung\/Zero-Day-Luecke-in-Windows-Microsoft-Statement-steht-noch-aus-4147028.html\" target=\"_blank\" rel=\"noopener\">diese Meldung<\/a> gebracht.<\/p>\n<p>Hier geht es weiter:\u00a0<a href=\"https:\/\/borncity.com\/blog\/2018\/09\/01\/neues-zur-windows-alpc-zero-day-schwachstelle\/\" rel=\"bookmark\">Neues zur Windows ALPC Zero-Day-Schwachstelle<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In Windows existiert eine ungepatchte Zero-Day-Schwachstelle (zero-day local privilege escalation vulnerability), \u00fcber die unprivilegierte Benutzer Rechte bis auf SYSTEM-Ebene ausweiten k\u00f6nnen. Hier einige Informationen zum Sachverhalt. Erg\u00e4nzung: Die Schwachstelle kann per Workaround entsch\u00e4rft werden. Zudem gibt es einen ersten 0patch-Testkandidaten &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/neue-windows-alpc-zero-day-schwachstelle-entdeckt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[1782,4325],"class_list":["post-208442","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheitslucke","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208442","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208442"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208442\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208442"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208442"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208442"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}