{"id":208605,"date":"2018-09-01T11:45:01","date_gmt":"2018-09-01T09:45:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=208605"},"modified":"2019-03-13T00:18:22","modified_gmt":"2019-03-12T23:18:22","slug":"neues-zur-windows-alpc-zero-day-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/09\/01\/neues-zur-windows-alpc-zero-day-schwachstelle\/","title":{"rendered":"Neues zur Windows ALPC Zero-Day-Schwachstelle"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Es gibt einige Neuerungen zu der im Windows Task-Planner (Aufgabenplaner) existierenden, und bisher ungepatchten Schwachstelle. Der Defender erkennt bestimmte Angriffe und es gibt einen 0patch-Fix.<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/12f322a861b240be98d84a1fcea94263\" alt=\"\" width=\"1\" height=\"1\" \/>Vor einigen Tagen hatte ich ja \u00fcber die ALPC Zero-Day-Schwachstelle im Windows Task-Planner (Aufgabenplaner) berichtet (siehe meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/neue-windows-alpc-zero-day-schwachstelle-entdeckt\/\">Neue Windows ALPC Zero-Day-Schwachstelle entdeckt<\/a>). Ein Hacker hatte diese Schwachstelle samt einem Proof of Concept (PoC) ver\u00f6ffentlich. Mit dem im PoC bereitgestellten Inventar kann man unter Windows eine Rechteausweitung auf System-Berechtigungen erreichen.<\/p>\n<p>Sicherheitsforscher Will Dormann hat in einem Tweet ein Beispiel f\u00fcr eine solchen Angriff gepostet.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">SYSTEM code execution on Windows 7. Just for fun. <a href=\"https:\/\/t.co\/Fx7nMYK1rJ\">pic.twitter.com\/Fx7nMYK1rJ<\/a><\/p>\n<p>\u2014 Will Dormann (@wdormann) <a href=\"https:\/\/twitter.com\/wdormann\/status\/1035230255026511878?ref_src=twsrc%5Etfw\">30. August 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Mir ist bei einem kurzen Test vor einigen Tagen diese Rechteausweitung aber nicht gelungen (vermutlich ist mir ein Fehler unterlaufen). Mir liegen jedoch Best\u00e4tigungen, auch deutscher Nutzer, vor, dass das Ganze auf diversen Systemen funktioniert (die R\u00fcckmeldung war 'auf einem System funktioniert der Exploit, auf einem anderen nicht').<\/p>\n<p>Das Proof of Concept (PoC) war vom Entdecker der Schwachstelle nur f\u00fcr 64-Bit-Versionen von Windows bereitgestellt worden. Will Dormann hat sich den Code angesehen und konnte den Exploit mit wenigen \u00c4nderungen auch f\u00fcr die 32-Bit-Versionen von Windows anpassen.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">I can't imagine too many people are interested, but I can confirm that with minor tweaks the public exploit code for the Windows Task Manager ALPC vul works on 32-bit Windows 10 as well. <a href=\"https:\/\/t.co\/1pf2JU6D2o\">pic.twitter.com\/1pf2JU6D2o<\/a><\/p>\n<p>\u2014 Will Dormann (@wdormann) <a href=\"https:\/\/twitter.com\/wdormann\/status\/1034554597908664320?ref_src=twsrc%5Etfw\">28. August 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Meine Hoffnung, dass Microsoft vielleicht schon letzte Woche einen Fix bereitstellt, hat sich nicht erf\u00fcllt. In den Blogbeitr\u00e4gen <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/31\/windows-7-8-1-preview-rollup-updates-30-august-2018\/\">Windows 7\/8.1 Preview Rollup Updates KB4343894, KB4343891 (30. August 2018)<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/31\/windows-10-update-kb4346783-kb4343893-kb4343889-kb4343884\/\">Windows 10: Update KB4346783, KB4343893, KB4343889, KB4343884 (30.8.2018)<\/a> ist mir jedenfalls nichts dergleichen aufgefallen. Da hei\u00dft es, bis zum 11. September 2018 warten, dann ist der n\u00e4chste regul\u00e4re Patchday.<\/p>\n<p>Bisher sind auch noch keine Angriffe bekannt geworden. Wer sich aber absichern m\u00f6chte, k\u00f6nnte Workarounds ins Auge fallen. Einen Workaround hatte ich bereits im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/neue-windows-alpc-zero-day-schwachstelle-entdeckt\/\">Neue Windows ALPC Zero-Day-Schwachstelle entdeckt<\/a> genannt: Die Schreibrechte auf den Ordner <em>c:\\windows\\system32\\tasks <\/em>entziehen (siehe auch folgenden Tweet).<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Short term solution on VU#906424:<br \/>\nicacls c:\\windows\\tasks \/remove:g \"Authenticated Users\"<br \/>\nicacls c:\\windows\\tasks \/deny system:(OI)(CI)(WD,WDAC)<br \/>\nTested and blocks 0day, changing these rights may result in unexpected behavior in scheduled tasks.<a href=\"https:\/\/twitter.com\/USCERT_gov?ref_src=twsrc%5Etfw\">@USCERT_gov<\/a><\/p>\n<p>\u2014 Karsten Nilsen (@karsten_nilsen) <a href=\"https:\/\/twitter.com\/karsten_nilsen\/status\/1034406706879578112?ref_src=twsrc%5Etfw\">28. August 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h2>0patch stellt einen 0-Day-Fix bereit<\/h2>\n<p>Der Anbieter <a href=\"https:\/\/0patch.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">0patch<\/a> entwickelt 0-Day-Patches, um von den Herstellern einer Software (noch) nicht geschlossene Schwachstellen zu fixen. Das hatte ich ja schon in mehreren Blog-Beitr\u00e4gen (<a href=\"https:\/\/borncity.com\/blog\/2018\/05\/15\/0day-patch-fr-cve-2018-8174-von-0patch-verfgbar\/\">hier<\/a>, <a href=\"https:\/\/borncity.com\/blog\/2017\/08\/24\/drittanbieter-0patch-fr-foxit-sicherheitslcke\/\">hier<\/a>, <a href=\"https:\/\/borncity.com\/blog\/2018\/01\/18\/microsoft-office-formeleditor-3-0-reaktivieren\/\">hier<\/a>) in anderem Zusammenhang berichtet. In meinem Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/neue-windows-alpc-zero-day-schwachstelle-entdeckt\/\">Neue Windows ALPC Zero-Day-Schwachstelle entdeckt<\/a> gab es bereits den Hinweis, dass 0patch bereits einen 0-Day-Fix testet.<\/p>\n<p>Jetzt hat mich der Entwickler Mitja Kolsek informiert, dass dieser Fix in der Endfassung zur Verf\u00fcgung steht.<\/p>\n<blockquote><p>I'd like to inform you that our company has created a micropatch for the \"0day\" vulnerability in Windows Task Scheduler that was published on Twitter this Monday, and has no official patch available.<\/p>\n<p>0patch by ACROS Security writes micropatches for critical security flaws which users can't fix otherwise for some reason or another (official patch not yet available, unsupported product, unresponsive vendor etc.)<\/p>\n<p>If you're interested in more details, please refer to our <a href=\"https:\/\/blog.0patch.com\/2018\/08\/how-we-micropatched-publicly-dropped.html\" target=\"_blank\" rel=\"noopener noreferrer\">blog post<\/a> on this issue.<\/p><\/blockquote>\n<p>Wer also Bedarf an einem sofortigen Fix hat, kann bei denen also f\u00fcndig werden.<\/p>\n<h2>Windows Defender erkennt bestimmte Angriffe<\/h2>\n<p>Auch Microsoft hat wohl intern reagiert. An einem Update, welches die ALPC-Schnittstelle absichert, arbeitet man wohl noch. Aber das Windows Defender-Team ist hingegangen und hat dem Defender eine Erkennung auf bestimmte Angriffsmethoden spendiert. Dies entnehme ich dem Tweet von Will Dormann.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">At least Windows Defender is better at detecting variants of this exploit by now. <a href=\"https:\/\/t.co\/duwKzfQXsE\">pic.twitter.com\/duwKzfQXsE<\/a><\/p>\n<p>\u2014 Will Dormann (@wdormann) <a href=\"https:\/\/twitter.com\/wdormann\/status\/1035585733392850944?ref_src=twsrc%5Etfw\">31. August 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Wenigstens etwas, was Microsoft unternimmt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es gibt einige Neuerungen zu der im Windows Task-Planner (Aufgabenplaner) existierenden, und bisher ungepatchten Schwachstelle. Der Defender erkennt bestimmte Angriffe und es gibt einen 0patch-Fix.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-208605","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208605","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208605"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208605\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208605"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208605"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208605"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}