{"id":210943,"date":"2018-10-24T12:59:28","date_gmt":"2018-10-24T10:59:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=210943"},"modified":"2018-12-20T20:07:05","modified_gmt":"2018-12-20T19:07:05","slug":"windows-10-zero-day-exploit-in-microsoft-data-sharing","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/10\/24\/windows-10-zero-day-exploit-in-microsoft-data-sharing\/","title":{"rendered":"Windows 10 Zero-Day-Exploit in Microsoft Data Sharing"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2018\/10\/24\/windows-10-0-day-exploit-in-microsoft-data-sharing\/\" target=\"_blank\">English<\/a>]Ein Nutzer mit dem Twitter-Namen <em>@SandboxEscaper<\/em> hat erneut einen Zero-Day-Exploit in Windows 10 (und den Server-Editionen) offen gelegt und gleich ein Proof of Concept (PoC) auf GitHub ver\u00f6ffentlicht. Es betrifft die Microsoft Data Sharing-Bibliothek <em>dssvc.dll, <\/em>die eine Rechteausweitung erm\u00f6glicht.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg05.met.vgwort.de\/na\/ee4f8467777d4ef5b004498639e7099c\" width=\"1\" height=\"1\"\/>Der Twitter-Nutzer <em>@SandboxEscaper<\/em> hatte bereits vor zwei Monaten mit einem Zero-Day-Exploit im Task-Scheduler (Aufgabenplanung) von sich reden gemacht \u2013 dann seinen Twitter-Account aber abgeschaltet (siehe <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/neue-windows-alpc-zero-day-schwachstelle-entdeckt\/\">Neue Windows ALPC Zero-Day-Schwachstelle entdeckt<\/a>). <\/p>\n<h2>Schwachstelle in Microsoft Data Sharing-Bibliothek <\/h2>\n<p>Jetzt hat sich <em>@SandboxEscaper<\/em> wieder \u00fcber Twitter zur\u00fcckgemeldet und weist auf eine neue Schwachstelle in Windows hin.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/t.co\/1Of8EsOW8z\">https:\/\/t.co\/1Of8EsOW8z<\/a> Here's a low quality bug that is a pain to exploit.. still unpatched. I'm done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.<\/p>\n<p>\u2014 SandboxEscaper (@SandboxEscaper) <a href=\"https:\/\/twitter.com\/SandboxEscaper\/status\/1054744201244692485?ref_src=twsrc%5Etfw\">23. Oktober 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Der Text des Tweets ist etwas kryptisch, schreibt der Entdecker etwas von einem immer noch ungepatchten 'Fehler von niedriger Qualit\u00e4t', der sich ausnutzen lasse. Gleichzeitig hat er auf GitHub ein Proof of Concept (PoC) <a href=\"https:\/\/web.archive.org\/web\/20181024205508\/https:\/\/github.com\/SandboxEscaper\/randomrepo\/blob\/master\/DeleteBug1.rar\" target=\"_blank\">ver\u00f6ffentlicht<\/a>, mit dem sich der Fehler ausnutzen lassen soll. Hier wird die betreffende RAR-Archivdatei sofort als sch\u00e4dlich von Chrome blockiert. <\/p>\n<blockquote>\n<p>Dem obigen Tweet l\u00e4sst sich entnehmen, dass <em>@SandboxEscaper<\/em> sich wohl aus dem Ganzen zur\u00fcck ziehen will \u2013 er habe fertig, schreibt er. Und er deutet wohl an, dass er pleite sei (die vorherige Schwachstelle hatte er versucht, meistbietend zu verkaufen, m\u00f6glicherweise ist er diesbez\u00fcglich 'verbrannt' ). Geht m\u00f6glicherweise aus diesem Tweet (wohl gel\u00f6scht) hervor, wo er andeutet, dass er sich Medikamente auf dem grauen Markt besorgen muss, weil die Gesundheitsversorgung in Belgien Mist ist. Den <a href=\"https:\/\/twitter.com\/SandboxEscaper\/status\/1054872425832333312\" target=\"_blank\">Andeutungen nach<\/a>, d\u00fcrfte er unter einer Depression leiden und scheint dadurch arbeitslos\/nicht arbeitsf\u00e4hig zu sein. Aber das ist eine Spekulation meinerseits.<\/p>\n<\/blockquote>\n<h2>Ein paar Hinweise zur Schwachstelle<\/h2>\n<p>The Hacker News hat sich des Themas in <a href=\"https:\/\/thehackernews.com\/2018\/10\/windows-zero-day-exploit.html\" target=\"_blank\">diesem Artikel<\/a> angenommen. Die Schwachstelle (Zero-Day-Exploit) steht in der Microsoft Data Sharing-Bibliothek <em>dssvc.dll<\/em>. Diese ist f\u00fcr den Data Sharing Service verantwortlich. Der Data Sharing Service ist ein lokaler Dienst, der als LocalSystem-Konto mit umfangreichen Rechten ausgef\u00fchrt wird und eine Datenvermittlung zwischen Anwendungen erm\u00f6glicht.<\/p>\n<p>Das auf eine Github-Seite ver\u00f6ffentlichte Proof-of-Concept (PoC) nutzt wohl eine Privilege Escalation -Schwachstelle in der Data Sharing-Bibliothek <em>dssvc.dll <\/em>aus. Die Schwachstelle k\u00f6nnte es einem niedrigprivilegierten Angreifer erm\u00f6glichen, seine Berechtigungen auf einem Zielsystem zu erh\u00f6hen. Allerdings erm\u00f6glicht der von <em>@SandboxEscaper <\/em>freigegebene PoC-Exploit-Code (<em>deletebug.exe<\/em>) einem niedrigprivilegierten Benutzer lediglich kritische Systemdateien zu l\u00f6schen, die andernfalls nur mit Administratorberechtigungen zugreifbar sind. <em>@SandboxEscaper <\/em>schreibt laut The Hacker News: <\/p>\n<blockquote>\n<p>\"Not the same bug I posted a while back, this doesn't write garbage to files but actually deletes them.. meaning you can delete application dll's and hope they go look for them in user write-able locations. Or delete stuff used by system services c:\\windows\\temp and hijack them.\" <\/p>\n<\/blockquote>\n<p>Es ist nicht der gleiche Fehler, den der Betreffende vor einer Weile gepostet hat, d.h. es l\u00e4sst sich nicht in Dateien schreiben. Aber es k\u00f6nnen Dateien wie DLLs von Anwendungen gel\u00f6scht werden. Oder es lassen sich Dinge, die von Systemdiensten verwendet werden (z.B. <em>c:\\windows\\temp<\/em>) l\u00f6schen. Das erm\u00f6glicht einen erweiterten Angriffsvektor, wie <em>@SandboxEscaper <\/em>schreibt. <\/p>\n<p>Ist eine DLL gel\u00f6scht, kann man hoffen, dass die Anwendungen, Dienste oder was auch immer dann an Orten (via Suchpfad) suchen, die mit Anwenderrechten beschrieben werden k\u00f6nnen. Platziert ein Angreifer dann eigene DLLs in diesen Verzeichnissen, ist ein erfolgreiches DLL-Hijacking m\u00f6glich (das Szenario hatte ich ja mehrfach im Blog adressiert). <\/p>\n<h2>Windows 10 und Server-Editionen gef\u00e4hrdet<\/h2>\n<p>The Hacker News schreibt, dass der Microsoft Data Sharing-Dienst in Windows 10 und neueren Versionen von Windows Server-Editionen eingef\u00fchrt wurde. Mit anderen Worten: Nutzer von Windows 7 SP1 und Windows 8.1 samt den Server-Pendants sind von dieser Schwachstelle nicht betroffen. <\/p>\n<p>Der PoC-Exploit wurde von Will Dormann erfolgreich gegen \"vollst\u00e4ndig gepatchtes Windows 10-System\" (V1803) mit den neuesten Sicherheitsupdates vom Oktober 2018, Server 2016 und Server 2019, wie er auf Twitter schreibt.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Confirmed as well on Win10 1803, fully-patched as of October.<br \/>It's perhaps worth noting that the service used by the PoC, Data Sharing Service (dssvc.dll), does not seem to be present on Windows 8.1 and earlier systems. <a href=\"https:\/\/t.co\/W8cNNC4xYO\">https:\/\/t.co\/W8cNNC4xYO<\/a><\/p>\n<p>\u2014 Will Dormann (@wdormann) <a href=\"https:\/\/twitter.com\/wdormann\/status\/1054801400910307328?ref_src=twsrc%5Etfw\">23. Oktober 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>An dieser Stelle der Hinweis: Ich empfehle keinem Blog-Leser bzw. keiner Leserin den PoC auszuf\u00fchren. Keiner wei\u00df, was da in der Datei drin steckt \u2013 und der Code kann das Betriebssystem zum Absturz bringen. Weitere Infos findet ihr ggf. bei The Hacker News in <a href=\"https:\/\/thehackernews.com\/2018\/10\/windows-zero-day-exploit.html\" target=\"_blank\">diesem Artikel<\/a>.<\/p>\n<h2>Mikropatch von 0patch verf\u00fcgbar<\/h2>\n<p>Was man bei The Hacker News nicht findet: Stunden nachdem der PoC von <em>@SandboxEscaper <\/em>ver\u00f6ffentlicht wurde, hat sich Mitja Kolsek von 0patch per Twitter zu Wort gemeldet.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Hey, we have a micropatch candidate for your 0day, currently working on fully updated Windows 10 1803. Would you care to try it out? (Please DM)<\/p>\n<p>\u2014 Mitja Kolsek (@mkolsek) <a href=\"https:\/\/twitter.com\/mkolsek\/status\/1054862776760524801?ref_src=twsrc%5Etfw\">23. Oktober 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>In einem weiteren Tweet von 0patch sieht es so aus, als ob die Schwachstelle nicht mehr ausnutzbar ist. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">7 hours after the 0day in Microsoft Data Sharing Service was dropped, we have a micropatch candidate that successfully blocks the exploit by adding impersonation to the DeleteFileW call. As you can see, the Delete operation now gets an \"ACCESS DENIED\" due to impersonation. <a href=\"https:\/\/t.co\/qoQgMqtTas\">pic.twitter.com\/qoQgMqtTas<\/a><\/p>\n<p>\u2014 0patch (@0patch) <a href=\"https:\/\/twitter.com\/0patch\/status\/1054859940945387520?ref_src=twsrc%5Etfw\">23. Oktober 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Zu 0patch und deren Micro-Patches hatte ich ja bereits einige Artikel hier im Blog. Die sind immer recht fix dabei, um Zero-Day-Exploits zu patchen, bevor Microsoft mit einem regul\u00e4ren Update herauskommt. <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong> <br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/neue-windows-alpc-zero-day-schwachstelle-entdeckt\/\">Neue Windows ALPC Zero-Day-Schwachstelle entdeckt<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/09\/06\/windows-alpc-0-day-lcke-wird-durch-malware-ausgenutzt\/\">Windows ALPC 0-day-L\u00fccke wird durch Malware ausgenutzt<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/09\/24\/windows-alpc-schwachstelle-cve-2018-8440-in-exploit-kit\/\">Windows ALPC-Schwachstelle (CVE-2018-8440) in Exploit-Kit<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Nutzer mit dem Twitter-Namen @SandboxEscaper hat erneut einen Zero-Day-Exploit in Windows 10 (und den Server-Editionen) offen gelegt und gleich ein Proof of Concept (PoC) auf GitHub ver\u00f6ffentlicht. Es betrifft die Microsoft Data Sharing-Bibliothek dssvc.dll, die eine Rechteausweitung erm\u00f6glicht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4325],"class_list":["post-210943","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210943","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=210943"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210943\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=210943"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=210943"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=210943"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}