{"id":210725,"date":"2018-10-19T00:01:33","date_gmt":"2018-10-18T22:01:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=210725"},"modified":"2024-08-12T13:29:20","modified_gmt":"2024-08-12T11:29:20","slug":"windows-schwachstelle-rid-hijacking-macht-dich-zum-admin","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/10\/19\/windows-schwachstelle-rid-hijacking-macht-dich-zum-admin\/","title":{"rendered":"Windows-Schwachstelle RID Hijacking macht dich zum Admin"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" \/>[<a href=\"https:\/\/borncity.com\/win\/2018\/10\/19\/windows-rid-hijacking-allows-guests-to-become-an-admin\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]In faktisch allen Windows-Versionen steckt eine (interessante, aber wohl nicht so) gravierende Sicherheitsl\u00fccke, die eine Rechte\u00fcbertragung<del>ausweitung<\/del> von Administrator-Privilegien an (Gast-)Konten erm\u00f6glicht. Das RID Hijacking genannte Verfahren ist seit mindestens 10 Monaten bekannt, ohne dass es gro\u00df bemerkt wurde.<\/p>\n<p><!--more--><\/p>\n<h2>Erste Informationen zur Schwachstelle<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/cfe74b2be1ab444e82cb27faed069dc9\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin bereits gestern bei Twitter auf das Thema gesto\u00dfen, Catalin Cimpanu\u200f (@campuscodi) hat es bei <a href=\"https:\/\/www.zdnet.com\/article\/researcher-finds-simple-way-of-backdooring-windows-pcs-and-nobody-notices-for-ten-months\/\" target=\"_blank\" rel=\"noopener noreferrer\">ZDNet.com<\/a> aufbereitet und spricht von einer Hintert\u00fcr.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Researcher finds simple way of backdooring Windows PCs and nobody notices for ten months.<\/p>\n<p>\"RID Hijacking\" technique lets hackers assign admin rights to guest and other low-level accounts.<a href=\"https:\/\/t.co\/UcteuyxKHc\">https:\/\/t.co\/UcteuyxKHc<\/a> <a href=\"https:\/\/t.co\/b8bzWzlb2y\">pic.twitter.com\/b8bzWzlb2y<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1052774018720456706?ref_src=twsrc%5Etfw\">18. Oktober 2018<\/a><\/p><\/blockquote>\n<p>Blog-Leser Ralf hat mich per verstecktem Kommentar (danke daf\u00fcr) hier im Blog noch auf den deutschsprachigen Artikel von Golem hingewiesen (Artikel wurde bei Golem gel\u00f6scht, siehe <a href=\"https:\/\/borncity.com\/blog\/2018\/10\/19\/windows-schwachstelle-rid-hijacking-macht-dich-zum-admin\/#comment-64166\">Kommentar<\/a>). Ein weiterer Beitrag findet sich <a href=\"https:\/\/web.archive.org\/web\/20181126142701\/https:\/\/fossbytes.com\/windows-pcs-vulnerable-to-rid-hijacking-grants-full-system-access-to-attackers\/\" target=\"_blank\" rel=\"noopener noreferrer\">auf Fossbyte<\/a>.<\/p>\n<h2>Die Entdeckung der RID Hijacking-Angriffsmethode<\/h2>\n<p>Die RID Hijacking-Angriffsmethode wurde von Sebastian Castro aus Kolumbien auf <a href=\"https:\/\/csl.com.co\/en\/rid-hijacking\/\" target=\"_blank\" rel=\"noopener noreferrer\">csl.com beschrieben<\/a>. Es gibt von Castro aber einen <a href=\"https:\/\/r4wsecurity.blogspot.com\/2017\/12\/rid-hijacking-maintaining-access-on.html\" target=\"_blank\" rel=\"noopener noreferrer\">\u00e4lteren Blog-Beitrag<\/a> vom 28. Dezember 2017, wo er bereits das Verfahren beschreibt. Der Angriffsweg ist also seit 10 Monaten bekannt. Der Hack von Castro wird in <a href=\"https:\/\/youtu.be\/9qPGuZoJxIc\" target=\"_blank\" rel=\"noopener\">diesem Vide<\/a>o (Aufzeichnung eines Vortrags von Castro) demonstriert.<\/p>\n<p>Golem schreibt, dass sich der Sicherheitsforscher nach eigenen Angaben umgehend an Microsoft gewandt habe, als er die L\u00fccke entdeckte. Auf seinen Hinweis habe er keinerlei R\u00fcckmeldung erhalten. Bisher ist aber kein Fall bekannt, wo diese Sicherheitsl\u00fccke von Schadsoftware ausgenutzt wurde. Erg\u00e4nzung: Der Grund ist auch klar, das Verfahren braucht Administratorrechte (siehe auch folgende Ausf\u00fchrungen).<\/p>\n<h2>Der RID Hijacking-Angriff im Detail<\/h2>\n<p>Mit den Windows-Ressourcen ist es m\u00f6glich, die RID (relative identifier, siehe hier) eines bestehenden Kontos (sogar des 500 Administrator Built-in Accounts) zu \u00fcbernehmen und einem anderen Benutzerkonto zuzuweisen. Dieser Angriff erlaubt:<\/p>\n<ul>\n<li>dem gekaperten (entf\u00fchrten) Benutzerkonto die Berechtigungen eines anderen Kontos zuzuweisen, auch wenn dieses Konto deaktiviert ist (damit kann man Admin-Rechte zuweisen).<\/li>\n<li>die Authentifizierung mit den Zugangsdaten des Hijacker-Kontos (auch Remote, abh\u00e4ngig von der Konfiguration des Computers), man erh\u00e4lt autorisierten Zugriff auf alles, was f\u00fcr das gekaperte Benutzerkonto zul\u00e4ssig ist.<\/li>\n<li>jede im Ereignisprotokoll eingetragene Aktion unter dem Namen des entf\u00fchrten Benutzerkontos protokollieren lassen, obwohl diese Aktion vom 'Entf\u00fchrer-Konto' erfolgt, unter dem der Ausf\u00fchrende angemeldet ist.<\/li>\n<\/ul>\n<p>Sebastian Castro schrieb bereits im Dezember 2017, dass diese Technik trotz ihrer atemberaubenden Wirksamkeit seines Wissens nicht ausreichend dokumentiert sei. Also entschied er sich, ein Metasploit-Modul, <em>rid_hijack<\/em>, zu schreiben, das diesen Angriff mit einer beliebigen Kombination von bestehenden Konten auf dem Opferrechner automatisiert. Diese Software hat er in der neuesten Metasploit-Version hier (gebrochen) bereitgestellt.<\/p>\n<p><a href=\"https:\/\/4.bp.blogspot.com\/-W-C7G836uhU\/Wm-RhFcwrAI\/AAAAAAAAAKE\/oII2vH347PwDKDHCPBbs_9ijeagogU6nQCLcBGAs\/s1600\/1.PNG\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/4.bp.blogspot.com\/-W-C7G836uhU\/Wm-RhFcwrAI\/AAAAAAAAAKE\/oII2vH347PwDKDHCPBbs_9ijeagogU6nQCLcBGAs\/s640\/1.PNG\" width=\"640\" height=\"460\" border=\"0\" \/><\/a><\/p>\n<p>Dieses Modul richtet eine 'Meterpreter-Sitzung' f\u00fcr ein Windows-Opfer ein. Dann versucht es, die Berechtigungen zu \u00fcberpr\u00fcfen (und diese bei Bedarf abzurufen). Dann versucht es, die Registrierungsschl\u00fcssel, die dem angegebenen Konto zugeordnet sind, zu \u00e4ndern (klappt nur mit ausreichenden Berechtigungen). Hier eine kurze Beschreibung der einzelnen Parameter des Metasploit-Moduls.<\/p>\n<ul>\n<li>GETSYSTEM: Wenn wahr, wird versucht, die SYSTEM-Privilegien f\u00fcr das Opfer zu erwerben. Wenn falsch, geht nix.<\/li>\n<li>GUEST_ACCOUNT: Wenn wahr, wird das Gastkonto des Opfers als Hijacker-Konto (Entf\u00fchrungskonto) verwendet.<\/li>\n<li>RID: Die RID, die dem Entf\u00fchrungskonto zugewiesen wird. Dieser Wert sollte einem bestehenden Konto geh\u00f6ren, das zur Entf\u00fchrung bestimmt ist. Standardm\u00e4\u00dfig auf 500 gesetzt.<\/li>\n<li>USERNAME: Wenn diese Option eingestellt ist, wird nach dem definierten Benutzerkonto gesucht und dieses wie das Entf\u00fchrungskonto behandelt. Wenn der Name auf GUEST_ACCOUNT lautet, wird dieser Parameter ignoriert.<\/li>\n<li>PASSWORD: Wenn diese Option eingestellt ist, wird das Passwort f\u00fcr das Hijacker-Konto auf diesen Wert festgelegt.<\/li>\n<\/ul>\n<p>Dass jemand mit physischem Zugriff auf einen Computer das standardm\u00e4\u00dfig deaktivierte Konto <em>Administrator <\/em>mittels Windows PE\u00a0hacken und so Zugang zu Administratorenrechten bekommt, ist lange bekannt. Ich hatte es 2013 im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2013\/01\/25\/vom-windows-administratorkonto-ausgesperrt\/\">Vom Windows-Administratorkonto ausgesperrt \u2013 I<\/a> beschrieben. Mit obiger Methode ist aber viel mehr m\u00f6glich: Man kann sich quasi die Benutzerberechtigung des deaktivierten Windows-Kontos <em>Administrator <\/em>im laufenden Betrieb aneignen und einem anderen Konto, wenn man als Administrator angemeldet ist, zuweisen. Dazu wird die RID des entf\u00fchrten Kontos genutzt. Dieser Hack bleibt auch bei einem Neustart von Windows weiter wirksam.<\/p>\n<blockquote><p>Da ich keinen Zugriff auf das Metasploit-Tool habe, war mir unklar, ob dieses administrative Rechte f\u00fcr die Manipulation ben\u00f6tigt. In nachfolgendem Screenshot l\u00e4sst sich aber ablesen, dass f\u00fcr GETSYSTEM administrative Rechte gefordert werden (wohl zur Manipulation der Schl\u00fcssel). Zudem ist keine Remote-Ausnutzung m\u00f6glich. Der Pfiff des Angriffs besteht darin, dass man ein Gast-Konto aufnorden, und dann quasi unter falscher 'Flagge' operieren kann. In der Ereignisanzeige wird dann der Name des gekaperten Kontos auftauchen. Bei Facebook gab es noch den Hinweis: 'Die Anmeldung eines Nutzers am Gast-Konto l\u00e4sst sich per Baseline GPO verhindern', so dass man das Ganze entsch\u00e4rfen kann.<\/p><\/blockquote>\n<h2>Test des Moduls<\/h2>\n<p>Sebastian Castro schreibt, dass dieser Angriff unter Windows XP, Windows Server 2003, Windows 8.1 und Windows 10 getestet wurde. Auf seiner Webseite beschreibt er, wie er eine virtuelle Windows 8.1 Pro-Maschine als Angriffsziel (Opfer) verwendet. Es gibt gem\u00e4\u00df nachfolgendem Screenshot nur ein Benutzerkonto namens <em>Benutzer <\/em>und zwei integrierte Konten, das Administratorkonto (Administrator, in spanisch Administrador) und das Gastkonto (in spanisch Invitado), auf der Testmaschine.<\/p>\n<p><a href=\"https:\/\/csl.com.co\/wp-content\/uploads\/2016\/03\/2.png\"><img loading=\"lazy\" decoding=\"async\" title=\"Konten der Testmaschine\" src=\"https:\/\/csl.com.co\/wp-content\/uploads\/2016\/03\/2.png\" alt=\"Konten der Testmaschine\" width=\"631\" height=\"153\" \/><\/a><br \/>\nBildquelle:\u00a0<a href=\"http:\/\/csl.com.co\/rid-hijacking\/\" target=\"_blank\" rel=\"noopener noreferrer\">http:\/\/csl.com.co\/rid-hijacking\/<\/a><\/p>\n<p>Sobald eine Meterpreter-Sitzung eingerichtet wurde, l\u00e4sst sich das Modul ausf\u00fchren. Dabei soll das eingebaute Administrator-Konto mit der RID 500 entf\u00fchrt und dem integrierten Gastkonto gewiesen werden. Das Gastkonto hat standardm\u00e4\u00dfig kein Passwort, also wird eines eingerichtet. Das geht aus folgendem Screenhot hervor:<\/p>\n<p><a href=\"https:\/\/csl.com.co\/wp-content\/uploads\/2016\/03\/8.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Meterpreter-Session\" src=\"https:\/\/csl.com.co\/wp-content\/uploads\/2016\/03\/8.png\" alt=\"Meterpreter-Session\" width=\"643\" height=\"373\" \/><\/a><br \/>\nBildquelle:\u00a0<a href=\"http:\/\/csl.com.co\/rid-hijacking\/\" target=\"_blank\" rel=\"noopener noreferrer\">http:\/\/csl.com.co\/rid-hijacking\/<\/a>\u00a0(Zum Vergr\u00f6\u00dfern klicken)<\/p>\n<p>In obigem Screenshot ist zu sehen, dass der Exploit bereits mit Systemrechten ausgef\u00fchrt wird (was die Ausnutzbarkeit 'in the wild' nat\u00fcrlich begrenzt, aber die \u00dcbertragung der Rechte zwischen den Konten ist ja das Ziel).\u00a0Nach dem Ausf\u00fchren des Metasploits ist es m\u00f6glich, sich mit dem Gastkonto und dem angegebenen Passwort an der Maschine anzumelden.<\/p>\n<p><a href=\"https:\/\/csl.com.co\/wp-content\/uploads\/2016\/03\/12.png\"><img loading=\"lazy\" decoding=\"async\" title=\"Anmeldung an Gastkonto\" src=\"https:\/\/csl.com.co\/wp-content\/uploads\/2016\/03\/12.png\" alt=\"Anmeldung an Gastkonto\" width=\"643\" height=\"287\" \/><\/a><br \/>\nBildquelle:\u00a0<a href=\"http:\/\/csl.com.co\/rid-hijacking\/\" target=\"_blank\" rel=\"noopener noreferrer\">http:\/\/csl.com.co\/rid-hijacking\/<\/a><\/p>\n<p>Nach einer erfolgreichen Anmeldung an der Maschine als Gast verf\u00fcgt man \u00fcber Administratorrechte. Das wird an diversen Befehlen demonstriert (siehe folgendes Bild).<\/p>\n<ul>\n<li>\u00d6ffnet man eine Eingabeaufforderung mit <em>cmd.exe<\/em>, erkennt man, dass diese unter dem <em>Administrator<\/em>-Konto ausgef\u00fchrt wird.<\/li>\n<li>Um zu pr\u00fcfen, ob man wirklich als Gastkonto angemeldet ist, kann man den Befehl <em>whoami <\/em>ausf\u00fchren und den Standardpfad \u00fcberpr\u00fcfen.<\/li>\n<li>Das Gastkonto erscheint weiterhin als Mitglied der lokalen Gruppe der G\u00e4ste, der Angriff bleibt also in dieser Hinsicht geheim bzw. kann nicht erkannt werden.<\/li>\n<\/ul>\n<p><a href=\"https:\/\/csl.com.co\/wp-content\/uploads\/2016\/03\/13.png\"><img loading=\"lazy\" decoding=\"async\" title=\"Operationen mit dem Gast-Konto\" src=\"https:\/\/csl.com.co\/wp-content\/uploads\/2016\/03\/13.png\" alt=\"Operationen mit dem Gast-Konto\" width=\"667\" height=\"507\" \/><\/a><br \/>\nBildquelle:\u00a0<a href=\"http:\/\/csl.com.co\/rid-hijacking\/\" target=\"_blank\" rel=\"noopener noreferrer\">http:\/\/csl.com.co\/rid-hijacking\/<\/a><\/p>\n<p>Mit diesen Berechtigungen kann man also alles machen, was ein Administrator tun darf \u2013 u.a. auch in die durch Windows eigentlich gesch\u00fctzten Ordner wie <em>System32<\/em> schreiben.<\/p>\n<p>Erg\u00e4nzung: Alles in allem eine interessante Geschichte, die zeigt, wie sich Windows-Konten manipulieren lassen. Dass Microsoft da nicht sofort mit einem Patch reagiert, ist auch klar &#8211; die Schwachstelle ist nur mit Administratorberechtigungen ausnutzbar, wird also in diesem Kontext als weniger kritisch gesehen. Man sollte das Thema aber im Hinterkopf behalten.<\/p>\n<blockquote><p>Wie aus den folgenden Kommentaren hervorgeht, hat Golem ihren Beitrag gel\u00f6scht. Das ist deren Entscheidung. An den Diskussionen der Art 'wenn ich Admin-Rechte zur Ausnutzung brauche, ist eh alles zu sp\u00e4t', werde ich mich nicht weiter beteiligen &#8211; da m\u00f6ge jeder seine eigene Phantasie spielen lassen (oder auch nicht). Ich belasse den Artikel im Blog, da alleine die Technik des RID-Hijacking und die m\u00f6glichen Implikationen schon spannend genug sind.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>[English]In faktisch allen Windows-Versionen steckt eine (interessante, aber wohl nicht so) gravierende Sicherheitsl\u00fccke, die eine Rechte\u00fcbertragungausweitung von Administrator-Privilegien an (Gast-)Konten erm\u00f6glicht. Das RID Hijacking genannte Verfahren ist seit mindestens 10 Monaten bekannt, ohne dass es gro\u00df bemerkt wurde.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[1782,3288],"class_list":["post-210725","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheitslucke","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210725","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=210725"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210725\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=210725"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=210725"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=210725"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}